Firewall

[Benutzer 37299]

Wenn ich die OS X Firewall einschalte, so dass nur bestimmte Anwendungen freigegeben werden, dann funktioniert das ganz und garnicht. Adium fragt JEDES mal. Ebenso Azureus. Das nervt einfach nur. Wie kann man die Firewall dazu bringen, die Programme in der Liste wirklich IMMER durchzulassen? Adium und Azureus stehtn selbstredend auf der Liste. Und das sind jetzt nur zwei prominente Beispiele.

Mir ist es auch bewußt, dass eine Firewall hinter einem Router nichts bringt. Aber ich bewege mich in vielen verschiedenen Netzen, u.a. an der Uni und da hätte ich schon gerne diese Sicherheit.

 

[Dr.Apfelkern]

Das liegt daran, dass die von dir erwähnten Programme wahllos selber ihre Ports bestimmen die sie zur Kommunikation benutzen möchten und diese daher auch ständig wechseln.

In der Firewall ist aber jeweils immer nur der Port gespeichert, welcher beim ersten Mal des Programmaufrufs und beim ersten Eintrag in die Firewall feststand.

Da man in dieser Art Applications-Firewall nunmehr keine sogenannten Portbereiche mehr über die GUI freigeben kann, ist diese im Ernstfall eigentlich gar nicht mehr zu gebrauchen. Nur Spielkram.

Im Terminal kannst du die obligatorische Firewall unter ipfw ansprechen und dort erweiterte Einstellungen zur Portöffnung manuell vornehmen, vorausgesetzt du weißt wie es geht. (Infos im Terminal über die Eingabe: man ipfw)

 

[pepi]

[…]Mir ist es auch bewußt, dass eine Firewall hinter einem Router nichts bringt.[…]

Behalte diesen Unsinn bitte für Dich und erzähl' es niemandem weiter! Waterroof ist ein recht brauchbares GUI für die ipfw.
Gruß Pepi

 

[dude34]

Das liegt daran, dass die von dir erwähnten Programme wahllos selber ihre Ports bestimmen die sie zur Kommunikation benutzen möchten und diese daher auch ständig wechseln.

In der Firewall ist aber jeweils immer nur der Port gespeichert, welcher beim ersten Mal des Programmaufrufs und beim ersten Eintrag in die Firewall feststand.

Da man in dieser Art Applications-Firewall nunmehr keine sogenannten Portbereiche mehr über die GUI freigeben kann, ist diese im Ernstfall eigentlich gar nicht mehr zu gebrauchen. Nur Spielkram.

Danke für die Aufklärung!!! Mir ist das so dermaßen auf den S**k gegangen, dass ich die FW nun komplett ausgeschaltet hab!

 

[pepi]

Aber nachher nicht aufregen kommen!

Danke für die Aufklärung!!! Mir ist das so dermaßen auf den S**k gegangen, dass ich die FW nun komplett ausgeschaltet hab!

*kopfschüttel*
Gruß Pepi

 

[wolfsbein]

Pepi meinte die "alte" IPFW-Firewall in OS X. Die wird, afaik unter Leopard jedoch gar nicht verwendet, sonder die neue Application-Firewall. Die soll einzelne Programme freischalten. Warum sie sich trotzdem noch auf einen Port beschraenkt verstehe ich nicht. Wenn das der Fall waere haetten wir hier doch haufenweise Threads dazu.

 

[Benutzer 37299]

Eigentlich sollte Azureus doch nur einen Port nehmen, nämlich den, den ich eingestellt habe. Bei Adium weiß ich nicht, wo sowas einstellbar ist.

Was bringt denn bitteschön eine Firewall hinter einem Router? Der Router hat in aller Regel ebenfalls eine FW. Man kann sich somit nur gegen Angriffe auf dem gleichen Netz sichern. Alles andere sollte vom Router ohnehin geblockt werden. Also wenn ich sicher bin, dass keine Angriffe aus dem eigenen Netz erfolgen, kann ich mir das ja sparen. Klar, eine FW erhöht die gefühlte Sicherheit, da jedes Programm erst eine Erlaubnis braucht, aber auf meinem Rechner tümmeln sich eh keine Viren oder so, da ich ein vorsichtiger Mensch bin und Ahnung von der Sache habe.

 

[pepi]

Alles wird gut…

Pepi meinte die "alte" IPFW-Firewall in OS X. Die wird, afaik unter Leopard jedoch gar nicht verwendet, sonder die neue Application-Firewall. Die soll einzelne Programme freischalten. Warum sie sich trotzdem noch auf einen Port beschraenkt verstehe ich nicht. Wenn das der Fall waere haetten wir hier doch haufenweise Threads dazu.

Die von Apple durchaus verwendet ipfw2 ist nicht "alt" sondern sehr aktuell. Von Ihr wird im allgemeinen unter Mac OS X Server gebrauch gemacht und im speziellen auch am Client wenn man den "Stealth Mode" aktiviert. (Was allerdings in der Art und Weise wie Apple das macht eine sehr schwachsinnige Peinlichkeit ist.)

Eigentlich sollte Azureus doch nur einen Port nehmen, nämlich den, den ich eingestellt habe. Bei Adium weiß ich nicht, wo sowas einstellbar ist.

Was bringt denn bitteschön eine Firewall hinter einem Router? Der Router hat in aller Regel ebenfalls eine FW. Man kann sich somit nur gegen Angriffe auf dem gleichen Netz sichern. Alles andere sollte vom Router ohnehin geblockt werden. Also wenn ich sicher bin, dass keine Angriffe aus dem eigenen Netz erfolgen, kann ich mir das ja sparen. Klar, eine FW erhöht die gefühlte Sicherheit, da jedes Programm erst eine Erlaubnis braucht, aber auf meinem Rechner tümmeln sich eh keine Viren oder so, da ich ein vorsichtiger Mensch bin und Ahnung von der Sache habe.

Router ≠ Firewall. NAT ≠ Packetfilter. Du bist Dir sicher, daß Du keinerlei Angriffen aus dem eigenen (W)LAN ausgesetzt bist? Glaubst Du auch, daß das Internet voller freundlicher Menschen ist und ohne Gefahren?

Und komm bitte nicht mit so schwammigen Aussagen wie "gefühlte Sicherheit". Das letzte was Du da fühlst ist Dein Router, hinter dem Du Dich so sicher fühlst.
Gruß Pepi

 

[Benutzer 37299]

Nun ja, also mein Router HAT definitiv eine Firewall und nicht nur NAT. Aber gut. Kann sein, dass sies nicht auf alle Router zutrifft.

Mein WLAN ist mit WPA2 verschlüsselt. Also ziemlich sicher.

 

[pepi]

Das trifft definitiv nicht auf alle Router zu. Und selbst bei vielen üblichen Heimroutermodellen ist der eingebaute Firewall mehr als unzureichend um ein Netzwerk auch nur halbwegs zu sichern. Wie gut die Verschlüsselung Deines WLANs ist, ist eigentlich unerheblich wenn Dein Passwort nicht gut ist.

Aus reiner Neugierde: Welches Routermodell setzt Du ein?
Gruß Pepi

 

[Benutzer 37299]

Ich habe den O2 Router. Irgendeiner von Zyxel also. Und mein Passwort ist schon sicher. Groß+Kleinschreibung und Sonderzeichen.

Allerdings gefällt mir der Router nicht. Er bietet null Stromsparmodi und hat lauter Funktionen, die keine Sau braucht (viel zu spezielle Sachen). Da gelobe ich mit die FritzBoxen. Leider geht O2 DSL nur mit dieser Kiste. Haben die FritzBoxen ne FW?

 

[Rastafari]

Und selbst bei vielen üblichen Heimroutermodellen ist der eingebaute Firewall mehr als unzureichend um ein Netzwerk auch nur halbwegs zu sichern.

So wie bei vielen üblichen Handys das eingebaute Telefon mehr als unzureichend ist, um damit auch nur halbwegs zu telefonieren.
Ebenso wie bei vielen üblichen Kleinwagen der eingebaute Motor mehr als unzureichend ist, um damit auch nur halbwegs zu fahren.
Nicht zu vergessen all die üblichen Heimcomputer, deren Käufer mehr als unzureichend sind um sie zu verwenden.

 

[Bier]

Soll ich jetzt meinen Netzwerktrennung-Monolg halten?

Ernsthaft: wer seine Services lokal verwalten kann, hat keinen Bedarf an einer Firewall, sofern er über die laufenden Prozesse informiert ist.
Der Angriffsvektor bei MacOS bezieht sich zudem auf laufende SUID root Prozesse, die bei Apple einfach mal undokumentiert, bis bescheuert implementiert, sind. Da macht eine Firewall mehr Sinn als auf einem Windows System, das aktuellst ist, da Microsoft sein System gut wartet.
Das Hauptproblem ist, dass Apple veraltete OpenSource Bestandteile integriert hat, die buggy sein können. Wenn diese auf Ports lauschen, hat man ein Problem, das aber auch eine Firewall nur provisorisch löst.

Angriffe mit einer Firewall abzuwehren ist eh eine Illusion. Das geht nicht. Man kann Portsscans schwerer machen, aber nicht verhindern. Wenn man eine Firewall nutzt um den sshd auf eine IP-Range zu begrenzen, ist das gut. Aber kaputt ist kaputt. Da hilft auch die ipfw2 nix.

 

[Benutzer 37299]

Genau, das war es auch was ich aus der Windows WElt wußte! Deswegen hat mich pepis Kommentar sehr gewundert.

Mir geht es aber ja darum, dass nicht jedes Skript-Kiddie auf meinen Mac zugreifen kann. Denn ich bin in vielen Netzen unterwegs und will nicht immer auf die Sicherheit achten müssen. Ist natürlich klar, dass eine Firewall nicht 100%ig schützt, aber sie verhindert doch so manchen Zugriffsversuch.