Firewall ein oder aus?

[pepi]

Gibt es keine Liste der Mac-spezifischen Prozesse (Dienste)? Sowas gibt es doch für Windows auch auf etlichen Seiten...Welcher Dienst (Prozess) ist wofür zuständig und brauch man ihn überhaupt? Du bist dran, ich bin ja lernwillig

Was LittleSnitch angeht macht das Programm vor allem Sinn für ängstliche "Achtung Apple telefoniert nach Hause-Anhänger", Inhaber von gecrackter Software auf dem System die eine Abschaltung dergleichen durch "nach Hause telefonieren" vermeiden wollen und eine selte Spezies derjeniger die ein Software-Update-Check verhindern wollen wenn eine Soft dies zwangsweise macht und sich die Option nicht abschalten läßt. Ansonsten viel mir nichts ein was ich hindern sollte nach draußen zu gelangen (Es sei denn du kennst etwas bösartiges im Mac-OS was man unbedingtermaßen von Hause aus blockieren sollte). Wenn ich nur mal als Beispiel den FTP-Server nutze ist er so eingestellt das ich nur die User zulasse die ich möchte und auch nur die Daten nach außen gelangen denen ich es erlaube.

Der Wille zu lernen ist etwas sehr positives. Wenn Du Deine Frage nach einer Mac OS X Prozessliste bei Google eingibst, liefert das erste Suchergebnis (auf gut Glück) sowie einige der Folgetreffer brauchbare Informationen. Auch die Aktivitätsanzeige unter Mac OS X liefert erstaunlich viel Info darüber was welcher Prozess tut und wo er herkommt. Also die Ideale Ausgangslage um weiterzuforschen. Ein wenig Ahnung von Unix Systemarchitektur ist bestimmt kein Fehler.


Einfach so global Little Snitch Usern illegale Machenschaften zu unterstellen finde ich doch etwas übertrieben. LittleSnitch ist in vielen Belangen nicht nur ein sinnvoller Firewall für ausgehende Netzwerkverbindungen, sondern auch ein Tool welches bei der Netzwerkdiagnose und Orientierung und sogar bei der Spam-Bekämpfung sehr hilfreich sein kann. Viel mehr möchte ich aufgrund der Länge meines Postings momentan nicht ins Detail gehen.
Gruß Pepi
PS: Gibts eigentlich eine Größenbeschränkung für Postings?

 

[eXiNFeRiS]

Ok, die Liste ist schon mal sehr interessant fürs erste. Wie läßt es sich denn nun mit Boardmitteln bewerkstelligen das der Prozess "ntpd" (um nur mal einen zu nennen) nicht beim Systemstart geladen wird?

 

[Hilarious]

Nur mal für zwischendurch: Littlesnitch reguliert den Datenverkehr dessen Verbindungen von dem eigenen Rechner nach außen aufgebaut werden und hat mit dem Datenverkehr, der von außen auf den eigenen Rechner zukommt, erst im ersten Fall etwas zu tun. So verhindert Little Snitch nicht das "Einbrechen" sondern das"Ausbrechen".

Die Frage nach dem Pro oder Contra einer Firewall ist ebenso beantwortbar wie die Frage, ob man sich im Sommer gegen Wintergrippe impfen sollte oder nicht. Für den gesunden Organismus bringt es wohl wenig, für den bereits geschwächten kann es lebensrettend sein. Ergo: Pauschale Antworten gibt's nur auf spezifische Fragen. Und wenn pepi sich besser fühlt, wenn er seinen Rechner mit einer Firewall betreibt, hat es zumindest für ihn persönlich einen guten Zweck erfüllt.

Zur Frage nach den Startdiensten, also Systemdienste wie "ntpd": Man sollte die Finger davon lassen. Wenn man glaubt, hier etwas zu tun zu haben, weil man Fachmann ist, weiß man entweder, dass man es lassen sollte, oder man schaut sich die Apple-Dokumentationen zu "launchd" an. Dies ist der kleine Kerl, der beim Systemstart überall herumläuft, Türen öffen, Licht einschaltet und die Kaffeemaschine vorheizt, damit alles tip top ist, sobald die ersten Gäste ins Restaurant Deines OS X-Systems kommen.

Links dazu:
http://developer.apple.com/macosx/launchd.html
http://www.afp548.com/article.php?story=20050620071558293
http://en.wikipedia.org/wiki/Launchd

 

[eXiNFeRiS]

@Hilarious

gut geschrieben Es wäre trotzdem mal interessant ob man diese Dienste am Start hindern kann, ich wüßte nämlich nicht warum ich eine Zeitsynchronisation bräuchte. (War auch eines der ersten Aktionen die ich unter Win deaktiviert hatte)

 

[Hilarious]

@Hilarious

gut geschrieben Es wäre trotzdem mal interessant ob man diese Dienste am Start hindern kann, ich wüßte nämlich nicht warum ich eine Zeitsynchronisation bräuchte. (War auch eines der ersten Aktionen die ich unter Win deaktiviert hatte)

Dazu dienen die Links am Ende meines obigen Beitrages.

 

[odins]

@eXiNFeRiS,
lies des letzte Urteil vom LG Hamburg (oder war es das OLG) - bei Heise gepostet.
Der Rechtsstaat wird mit diesem Urteil verabschiedet (Unschuldsvermutung wird aufgehoben).
Da ging es darum, daß über nen WLAN Mucke via G***E*** gezogen wurde.
Prompt kam ne Abmahnung von der Musikindustrie ins Haus.

Somit kommt der alte Grundsatz zum Tragen: Unwissendheit schützt vor Strafe nicht.
Also nich wundern, wenn die Grünen vielleicht mal an deiner Tür klingeln, weil dein Rechner als Zwischenlager genutzt wurde.

 

[eXiNFeRiS]

@odins

wie sprechen hier über die Mac-interne Firewall und nicht über das potentielle Eindringen in ein unverschlüsseltes WLAN-Netz. Auch da hat sich innerhalb von 4 Jahren keiner in mein "unsicheres" 128Bit WEP eingehackt...komisch, da das doch so schnell und so einfach geht laut diversen TV-Berichten und Anleitungen im Netz.

 

[skywalker]

Auch da hat sich innerhalb von 4 Jahren keiner in mein "unsicheres" 128Bit WEP eingehackt...komisch, da das doch so schnell und so einfach geht laut diversen TV-Berichten und Anleitungen im Netz.

rein interessehalber:
woher weisst du das dein internetzugang noch nicht fremdgenutzt wurde ?

 

[eXiNFeRiS]

rein interessehalber:
woher weisst du das dein internetzugang noch nicht fremdgenutzt wurde ?

1. weil ich zufälligerweise nur einen direkten Nachbarn habe der ebenfalls WLAN betreibt und dessen Netz ich selbst sicher gemacht habe
2. weil ich im Router detailliert sehe wer, wann, mit welcher IP und mit welcher MAC-Adresse einen Connect versuchte bzw. ihn auch erfolgreich initiert hat.


Langsam aber sicher merke ich, das Sendungen a la Stern TV und Spiegel-TV mit Ihren Beiträgen und einem Sicherheitsexperten der aussieht wie Gandalf der Graue Früchte tragen. Ich bekomm es auch jedesmal an der Hotline mit, von verängstigten Usern die an jeder Straßenseite und in jedem Nachbarhaus einen potentiellen Straftäter und WLAN-Eindringling sehen.

 

[skywalker]

1. weil ich zufälligerweise nur einen direkten Nachbarn habe der ebenfalls WLAN betreibt und dessen Netz ich selbst sicher gemacht habe
2. weil ich im Router detailliert sehe wer, wann, mit welcher IP und mit welcher MAC-Adresse einen Connect versuchte bzw. ihn auch erfolgreich initiert hat.


Langsam aber sicher merke ich, das Sendungen a la Stern TV und Spiegel-TV mit Ihren Beiträgen und einem Sicherheitsexperten der aussieht wie Gandalf der Graue Früchte tragen. Ich bekomm es auch jedesmal an der Hotline mit, von verängstigten Usern die an jeder Straßenseite und in jedem Nachbarhaus einen potentiellen Straftäter und WLAN-Eindringling sehen.

nun ja.
bachblüten, in dreiecksform, um den wlan router gelegt sollen ja auch einen recht wirkungsvollen schutz gegen wlan hacker bieten.

also wep ist kein sicherer wlanschutz. da gibts kein wenn und aber.
es ist zwar etwas aufwändiger in ein wep wlan zu gelangen als in ein ungeschütztes,
aber es ist kein wirkungsvoller schutz mehr.
nur weil bei mir noch keiner zuhause eingebrochen ist, würde ich mein haus auch nicht als einbruchssicher betrachten.

mac-adressen und damit assozierte ip's lassen sich absolut problemlos fälschen.

ich weiss wovon ich rede weil ich selber es schon vor einem guten jahr erlebt habe, wie jemand in ein mit wep geschütztes nachbarschafts wlan eingebrochen ist und ihn auch dabei durch einen ganz dummen zufall erwischt habe.

die story dazu ist schnell erzählt.
in der nachbarschaft nutzen wir zu 4 einen internetzugang.
durch zufall sah ich im router das ein nachbar online war, der eigentlich im urlaub sein sollte.
ich beobachtete das ein paar tage lang und dann kam mir kommissar zufall zur hilfe.
eines nachmittags hatte ich den router abgeschaltet und sah durch zufall einen anderen nachbarn auf seiner am haus angebauten garage herum turnen.
er fummelte an einer provisorischen externen wlan antenne rum.
nachdem ich den router wieder eingeschaltet habe, war die ip des "nachbarn im urlaub" wieder online. ich also wieder den router ausgeschaltet und keine minute später stand er wieder auf der garage. so ging das spiel ne weile, bis ich ihn direkt beim nächsten abschalten/antenne fummeln) direkt darauf angesprochen habe...
das gesicht wechselte zwischen rot und weiss und sprach bände.
er gab es auch dann ganz frisch heraus zu
ich habe ihn gefragt wieso, weshalb udn warum und nachdem ich ihm keinerlei ärger zugesagt habe hat er mir dann auch seine vorgehensweise gezeigt.
nachdem wir dann alle router mit wpa2 konfiguriert hatten war die sache gegessen.

nachtrag: obwohl mir schon damals klar war, daß wep unsicher geworden ist, haben wir nicht auf wpa/wpa2 gewechselt weil 2 nachbarn noch alte router ohne wpa unterstützung hatten.
da meine rechner alle hinter einer firewall am wlan hängen habe ich mir da auch keine weiteren gedanken gemacht, obwohl mir unwohl dabei war.

 

[eXiNFeRiS]

Das du in dem Bereich negative Erfahrungen gesammelt hast ist natürlich ärgerlich aber immer noch kein Indiz dafür das dieses Vorgehen dermaßen verbreitet ist um es in Medien breitzutreten. Das die Gerätehersteller reagieren beweist ja schon das die meisten WLAN-Router vom Werk aus WEP/WPA-verschlüsselt sind, mit dem Resultat das der unbedarfte User unfähig ist damit überhaupt eine Verbindung zustande zu kriegen (man liest es täglich hier und auch in anderen Foren). Andererseits ist es auch nicht das Thema dieses Threads gewesen, es geht nämlich lediglich um die interne Firewall des Mac-OS.

 

[Hilarious]

[...]

Andererseits ist es auch nicht das Thema dieses Threads gewesen, es geht nämlich lediglich um die interne Firewall des Mac-OS.

Danke! Bleiben wir beim Thema.

 

[skywalker]

Andererseits ist es auch nicht das Thema dieses Threads gewesen, es geht nämlich lediglich um die interne Firewall des Mac-OS.

stimmt, deswegen habe ich auch im nachtrag erwähnt, daß ich auf jedenfall die firewall auf allen rechnern laufen habe.

p.s. besser die information über mangelnde sicherheit eines bestimmten verfahrens in die welt tragen, als darüber zu schweigen.
da die tools mittlerweile so einfach zu bekommen und zu bedienen sind, denke ich, daß ich beleibe kein einzelfall bin/war.....

auch deswegen: firewall on

 

[ZENcom]

Bei uns hier im Kiez haben sich in den letzten 6 Monaten sage und schreibe 26 neue WLAN-Spots eingefunden. Davon sind 3 VPN's von den Freifunkern, 4 von den umliegenden Cafée's und der Rest sind WPA's und WEP's von Nachbarn. Lustig war, dass die privaten WLAN's erst nach einigen Wochen verschlüsselt wurden und die Nutzung der Verbindung ein Leichtes war. Aus Neugierde heraus habe ich mal einen Portscan über die einzelnen Dienste gemacht und festgestellt, dass bei den meisten die ftp://, afp:// und ssh/ssl., .local - Verbindungen aktiviert waren. Dem Herumstöbern auf den HD's war also nichts entgegengesetzt. Das Schönste waren die Apples deren ARD-Client aktiviert waren; was mich schon sehr erstaunte… So gehe ich nunmal davon aus das eine Firewall zu allerst für den 'Standart'-Anwender eine uninteressante Option darstellt. Wenn ich hier etwa 10 Mac's auf dem Schirm habe die (über den DSL-Router) keinerlei Sicherheitsvorkehrungen verfügen stellen sich mir die Haare zu Berge. An einem schönen Sonntagnachmittag (wie Heute) kann ich mich unten ins Café setzen und ganz gemütLich und geschmeidig einen Spaziergang durch den Festplattenpark machen.

Meine Frage: Wie kann man diesen Personen mitteilen das sie ein 'echtes' Sicherheitproblem haben?

Ich habe mir schon überlegt eine Aktion mit Plakaten mit dem Hinweis - Leute, schaltet euere Firewall ein! - , die ich dann an die Häuserwände unseres Kiezes klebe. Darunter ein Bild von meinem Desktop mit den einzelnen Netzwerkplatten.

Nebenan sitzen gerade 4 Kids um einen Sony Vayo Z1 und lachen sich einen ab. Ich glaub ich setz' mich mal dazu. Die kucken auch schon ganz schau nach meinem Apfel

 

[skywalker]

Ich habe mir schon überlegt eine Aktion mit Plakaten mit dem Hinweis - Leute, schaltet euere Firewall ein! - , die ich dann an die Häuserwände unseres Kiezes klebe. Darunter ein Bild von meinem Desktop mit den einzelnen Netzwerkplatten.

von dieser aktion würde ich persönlich die finger lassen, da du damit ein rechtsvergehen deinerseits (computerspionage, §202a StGB "auspähen von daten") dokumentierst.
wenn einer derjenigen seine platte auf dem plakat wieder erkennt und "liebling kreuzberg" heisst, dann dürfte es arge probleme geben können.
habe aber auch schon übelegt was man tun kann um die leute auf ihre offenen wlans hinzuweisen... nur eingefallen ist mir leider noch nichts vernünftiges.

 

[ZENcom]

von dieser aktion würde ich persönlich die finger lassen, da du damit ein rechtsvergehen deinerseits (computerspionage, §202a StGB "auspähen von daten") dokumentierst.
wenn einer derjenigen seine platte auf dem plakat wieder erkennt und "liebling kreuzberg" heisst, dann dürfte es arge probleme geben können.

Ok! …das ist natürlich ein Argument. Die Aktion würde ich selbstverständich 'in Kognito' umsetzen.
Der Sicherheitsaspekt heiligt da die Mittel. Progressives Verhalten kann dbzgl. nur von Vorteil sein.

 

[wolfsbein]

Soweit ich weiss stellt es keinen Straftatbestand dar, wenn man in eineum ungeschuetzten (sprich nicht verschluesselten) WLAN mitsurft. Dies kann hoechstens zivilrechtlich belangt werden, zumindest laut c't. In wie weit das Ausspaehen von Daten eine Straftat ist weiss ich nicht. Da muesste man einen Juristen fragen.

Und zu den obigen Aussagen: "Ich habe ein schlecht geschuetztes Netz, stehe dazu, alle sind paranoid und das brauchts doch alles nicht.", kann ich nur sagen, traurig. Es ist klar, dass im Normalfall keinen die Bilder vom letzten Urlaub interessieren. Rein der Rechner mit Internetanschluss stellt aber einen nicht zu unterschaetzenden Wert da, Botnetz usw. Die Aufklaerung des normalen Nutzers ist noch viel zu rueckstaendig. Dass Sensationssendung von Sat 1 und Co nicht das ideale sind, streite ich gar nicht ab. Aber es ist ein Anfang.

 

[skywalker]

Soweit ich weiss stellt es keinen Straftatbestand dar, wenn man in eineum ungeschuetzten (sprich nicht verschluesselten) WLAN mitsurft. Dies kann hoechstens zivilrechtlich belangt werden, zumindest laut c't. In wie weit das Ausspaehen von Daten eine Straftat ist weiss ich nicht. Da muesste man einen Juristen fragen.

abgesehen davon, daß man sich laut aktueller rechtslage eh schon im sinne der störerhaftung strafbar macht ein ungeschütztes wlan zu betreiben...
aber es ging ja auch nicht ums mitsurfen, sondern um das durchsuchen des netzes nach gemounteten platten/ressourcen und das kann ganz klar als das ausspähen von daten ausgelegt werden. den entsprechenden paragraphen 202a, stgb hatte ich schon genannt.

dort ist zwar von einer besonderen sicherung der daten die rede, aber wer wird im klagefall schon sagen, daß seine daten nicht gesichert waren...
wie wirkungsvoll der schutz sein muss wird im gesetz nämlich nicht geregelt.
ärger in jedweder hinsicht ist da schon vorprogrammiert.
deswegen würde ich diese vorgehensweise nicht anregen.

Und zu den obigen Aussagen: "Ich habe ein schlecht geschuetztes Netz, stehe dazu, alle sind paranoid und das brauchts doch alles nicht.", kann ich nur sagen, traurig. Es ist klar, dass im Normalfall keinen die Bilder vom letzten Urlaub interessieren. Rein der Rechner mit Internetanschluss stellt aber einen nicht zu unterschaetzenden Wert da, Botnetz usw. Die Aufklaerung des normalen Nutzers ist noch viel zu rueckstaendig. Dass Sensationssendung von Sat 1 und Co nicht das ideale sind, streite ich gar nicht ab. Aber es ist ein Anfang.

absolute zustimmung.

 

[ZENcom]

Wenn ich mich recht entsinne hat Apple als Sicherheitsmaßnahme 'FileFault' eingebaut.

Das 'Mitsurfen' kann für den 'privaten Netzbertreiber' dann ein großes Ärgernis werden wenn er einer Volumenbegrenzung und /oder Zeitbegrenzung unterliegt. Da können im Monat schon gerne aus 4GB 20GB werden und das kostet. Das dabei Bandbreite flöten geht ist ja wohl klar.
Es ist also schon im Sinn des WLAN-Betreibers über die Lücken informiert zu sein. Das ausspähen von privaten Daten geht dabei noch über 'WLAN-Zoo-Besuche' hinaus. Nicht Wenige speichern ihre vertraulichen Daten auf der Festplatte.

Der sogenannte 'Aufklärungs-Journalismus' bei den Privaten ist Formattreu. Das heißt es muß 'so!' berichtet werden. Anbahnung von Angst und Mißtrauen gehört da zum Medienformat dazu, wie die Sterne zur Nacht. Da gilt das alte Sprichwort: Was das Hänschen nicht lernt, lernt der Hans nimmer mehr. Die Entwicklung bei den Kommunikationstechnologien hat eine Geschwindikeit erreicht, dass die älteren Generationen vieles mehr an KnowHow aufzuholen haben. Dieses Defizit führt dabei in diese 'Dummi-Catcher'-Menatlität. Vorwiegend junge Menschen nutzen dabei das Defizit von älteren Menschen aus. Wer wird dabei zur Verantwortung gezogen? Es ist ja nicht unsere geliebhasste T-com die ihre Packetzulieferer anweist die Hardware auch Kundengerecht einzurichten und auf deren Belange einzugehen. Gegen einen Aufpreis von ca. 80e kann jeder einen Techniker der Anbieter hinzubestellen, der dann die DSL-Anlage für den heimischen Computer einrichtet. In den seltesten Fällen wird dabei das Justieren der Firewall oder der Sicherheitsvorkehrungen verlangt.

Selig sind die Unwissenden, denn sie erhalten unser Bruttosozialprodukt am Leben.