[10.11 El Capitan] Screensharing / Bildschirmfreigabe trotz korrekter Firewall-Einatellungen blockiert

Ikkyusojun

Gloster
Registriert
17.05.13
Beiträge
63
Hallo,


wenn ich die FW ausschalte, funktioniert ScreenSharing, ist sie an, geht es trotz korrekter Einstellungen nicht. Ein paar Tage lang funktionierte es nach Ersteinrichtung des Rechners. Dann plötzlich nicht mehr. Habe alle Einstellungen mehrfach zurückgestzt. Nix hift. Kann jemand eine Lösung anbieten?

Danke
 

Dippel

Zuccalmaglios Renette
Registriert
30.07.14
Beiträge
260
Um Dir zu helfen, musst Du noch ein wenig mehr Details Preis geben.

Z.B. Welcher Router? Welches Programm für die Bildschirmfreigabe? Welche Geräte benutzt Du?

Die FireWall abzustellen ist nie eine gute Idee, nur so als Tipp.
 

Ikkyusojun

Gloster
Registriert
17.05.13
Beiträge
63
Um Dir zu helfen, musst Du noch ein wenig mehr Details Preis geben.

Z.B. Welcher Router? Welches Programm für die Bildschirmfreigabe? Welche Geräte benutzt Du?

Die FireWall abzustellen ist nie eine gute Idee, nur so als Tipp.

Hm. Genau. Desswegen ist das Problem ja so ärgerlich^^
Ich hatte das nur erwähnt, um zu verdeutlich, dass abseits der FW alles korrekt ist.
PS:
- internes Netzwerk
- Airport via Apple AExtreme
- das Problem ist die lokale FW des Zielrechners
- die FW schließt nach ab-/anmelden immer die einige Ports (screensharingd?)
- auf dem Zielrechner (frisch installiert: El Capitan + alle Updates on board) sind alle Zugriffsrechte korrekt gesetzt
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Wie sehen denn deine Einstellungen bei der Firewall aus und die Liste der erlaubten Anwendungen?
 

Ikkyusojun

Gloster
Registriert
17.05.13
Beiträge
63
Wie sehen denn deine Einstellungen bei der Firewall aus und die Liste der erlaubten Anwendungen?

Screensharing: ON
Remot Login (SSH): ON
Remote Management (ARD): ON - dann erhalte ich die Meldung, dass RM Screensharing kontrolliert

Bei allen Diensten sind jeweils "Einige Benutzer" ausgewählt, wobei diese beim Remote Management in den weiteren Optionen umfassende Rechte bekommen.

Das System fragt dann nach, ob man diesen und jenen Dienst in der FW für eingehende Daten freigeben wolle, was ich, da die Dienstnamen recht kryptisch sind, testweise bejahe.

In der FW
Alle eingehenden Verbindungen blockieren: OFF
Signierter SW automatisch Verbindungen erlauben: OFF
Tarnmodus: ON

Bei den Diensten werden
ScreenSharing
RemoteLlogin
RemoteManagement grün dargestellt

Etwas unvorhersehbar ist nun die Darstellung der einzelnen Anwendungen darunter (hierzu muss man wissen, ich habe mehrfach n CleanInstall durchgeführt und die Konfiguration mehrfach auch in gleicher Weise und Reihenfolge durchgeführt und zwar jeweils als Admin), trotzdem
- variieren die angegebenen Dienste in der Liste erheblich von Mal zu Mal
- verschiedene relevante Apps, die ich auf o. g. Nachfragen des Systems ausdrücklich freigegeben habe, werden blockiert dargestellt, insbesondere "screensharingd" sticht dabei heraus
- selbst wenn ich diese nun manuell wieder freischalte, werden diese, sehr regelhaft vor allem "screensharingd" nach einem Neustart, oder auch nur nach schließen und erneutem öffnen der FW-Konfiguration, als geblocked angezeigt.

Das Problem tritt auch auf, wenn ich auf Remote Login und -Management verzichte, also nur Screensharing aktiviere.

Löschen der FW-Configuration ("...alf.plist") bringt keinen dauerhaften Erfolg.

Auf einem System habe ich es mal stabil hingekriegt, das habe ich noch als Klon, möchte dort aber verschiedene Konfigurationen der Adminnutzer ändern und befürchte, dass dann wieder alles spinnt. Zumal es keine Lösung sein kann, in einer derart zentralen Systemkonfiguration dauerhaft auf einen Klon angwiesen zu sein.

Das Verhalten ähnelt sich auf verschiedenen Rechnern unter verschiedenen OS-Versionen (Mavericks, Yosemite, El Capitan).

Ich bin durchaus kein Einzelfall: In den Apple-Support-Communities, sowie im sonstigen Internet, gibts verschiedene Threads dazu, mit z. T. obskuren und daher langfristig nicht nachhaltigen Lösungsansätzen: man soll mehrfach hintereinander SchreenSharing aktivieren / deaktivieren... etc.

Mir scheint es, dass "entweder" oder "und"
- die File-Berechtigungen bzw. die notwendigen Berechtigungen der Adminuser nicht korrekt konfiguriert sind
- Das "Freigaben"-PrefPane nicht die entsprechenden Rechte besitzt, um die FW-Config "..alf.plist" zu lesen / konfigurieren, oder falsche Vorgaben hat, die es einstellt.

Besonders ärgerlich ist, das das Problem seit Jahren besteht (siehe Support-Communities) und Apple entweder das Problem nicht lösen kann (oder will) und es auch nicht ausreichend dokumentiert (z. B. wäre es ärgerlich und letztlich aus meiner Perspektive unverständlich, unnötig, und hinsichtlich der Bedienbarkeit und Systemsicherheit kontraproduktiv, aber Apple könnte auch einfach schreiben: Wenn sie ScreenSharing etc. nutzen wollen: schalten sie die lokale FW aus; das wäre zumindes konsequent und ehrlich).

Ich habe ein höhes Sicherheitsbedürfnis. Nach meinem technischen Verständnis schließen sich eine Application-Level-Firewall und Screensharing, Remote Login (SSH) sowie Remote Management (ARD) nicht aus. Und es macht auch Sinn, in einem LAN den Server gegen ....-User basal mittels lokaler FW zusätzlich zu schützen.

Als nächstes werde ich versuchen, wenn ich "root" aktiviere und es von dort konfiguriere. Ob wohl ich das gerne vermeiden möchte, selbst wenn man root auch wieder deaktivieren kann.

Langsam verliere ich die Lust, wegen so nem ... eigentlich als banal anzusehendem Problem mich derartig zu beschäftigen. Ich weiß nicht, wie Buisiness-User das sehen. Aber wenn entweder (FW) / oder (ScreenSharing und Konsorten) Apples Sicherheitspolitik ist... dann danke...

Frustrierte Grüße
 

deloco

Weißer Winterkalvill
Registriert
14.11.07
Beiträge
3.505
Die FireWall abzustellen ist nie eine gute Idee, nur so als Tipp.

Das stimmt nicht. In vielen Fällen ist die OS X Firewall mehr Sicherheitsrisiko, als nutzen. Befindet man sich hinter einem Router, benötigt man keine Firewall im System. Es gibt schon einen Grund, warum die Standardmäßig ausgeschaltet ist.
 
  • Like
Reaktionen: Macbeatnik

Ikkyusojun

Gloster
Registriert
17.05.13
Beiträge
63
Das stimmt nicht. In vielen Fällen ist die OS X Firewall mehr Sicherheitsrisiko, als nutzen. Befindet man sich hinter einem Router, benötigt man keine Firewall im System. Es gibt schon einen Grund, warum die Standardmäßig ausgeschaltet ist.

Ich bin gespannt auf die Begründung, in wie fern die Apple Firewall ein Sicherheitsrisiko darstellt.
Bitte.. Warum?
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.207
  • Like
Reaktionen: deloco

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Wenn du im Bezug auf die Firewall schon sämtliche Einstellungen entfernt hast und eine Websuche darauf hindeutet, dass es hier ein Problem gibt, kann man vermutlich nicht viel ändern. Macht es denn einen Unterschied wenn die Option ‘Signierter SW automatisch Verbindungen erlauben’ aktiviert ist? Vielleicht verhindert sie einen erneuten Zugriff von screensharingd.

Die Firewall in den Systemeinstellungen ist, wie schon angedeutet, auch nur eine zusätzliche Firewall (lese auch hier: http://www.macmark.de/osx_security.php#firewall). Diese bewirkt nur, dass du einzelne Programme mit zusätzlichen Netzwerkfunktionen den Netzwerkzugang blockieren kannst. Sie bringt also, glaube ich, nur wirklich etwas, wenn du damit einzelne Programme auch tatsächlich blockierst. Alles was du dort erlaubst, wird von dieser Firewall so nicht beeinträchtigt. Gibt es denn Programme denen du den Netzwerkzugriff absolut nicht erlauben möchtest? Mit bestimmten Begründungen?

Im Link von Macbeatnik wird auch etwas zum Tarnmodus gesagt. Es wird empfohlen um diese Option nicht einzuschalten. Eine weitere Erklärung findest du hier: http://www.macmark.de/blog/osx_blog_2008-10.php#stealth_macup_2008_11.
 

Ikkyusojun

Gloster
Registriert
17.05.13
Beiträge
63
Wenn du im Bezug auf die Firewall schon sämtliche Einstellungen entfernt hast und eine Websuche darauf hindeutet, dass es hier ein Problem gibt, kann man vermutlich nicht viel ändern. Macht es denn einen Unterschied wenn die Option ‘Signierter SW automatisch Verbindungen erlauben’ aktiviert ist? Vielleicht verhindert sie einen erneuten Zugriff von screensharingd.

Die Firewall in den Systemeinstellungen ist, wie schon angedeutet, auch nur eine zusätzliche Firewall (lese auch hier: http://www.macmark.de/osx_security.php#firewall). Diese bewirkt nur, dass du einzelne Programme mit zusätzlichen Netzwerkfunktionen den Netzwerkzugang blockieren kannst. Sie bringt also, glaube ich, nur wirklich etwas, wenn du damit einzelne Programme auch tatsächlich blockierst. Alles was du dort erlaubst, wird von dieser Firewall so nicht beeinträchtigt. Gibt es denn Programme denen du den Netzwerkzugriff absolut nicht erlauben möchtest? Mit bestimmten Begründungen?

Im Link von Macbeatnik wird auch etwas zum Tarnmodus gesagt. Es wird empfohlen um diese Option nicht einzuschalten. Eine weitere Erklärung findest du hier: http://www.macmark.de/blog/osx_blog_2008-10.php#stealth_macup_2008_11.

Ok, also den Teil mit dem Tarnmodus kann ich nachvollziehen.


Hier findest du zum Beispiel eines an Für und Wider, oder was man nicht unbedingt einschalten sollte.[/SIZE]
https://www.bsi.bund.de/DE/Themen/I...utzKataloge/Inhalt/_content/m/m05/m05166.html
Nur zur Info meine OS X Firewall war auf allen meinen Rechner noch nie aktiviert, bedeutet zwar jetzt nicht, nur als info.

Aber nirgendwo wird explizit das nicht-aktivieren bzw. deaktivieren der ALF gefordert. Den zitierten BSI-Artikel verstehe ich _eher_ gegenteilig.


Insgesamt aber: Leider helfen mir die Nachrichten nicht. Und so oder so ist das von mir beschriebene Verhalten des Systems, welches dem Threa seinem Namen gab, bedenklich, weil intransparent und inkongruent.