Firewall für Mac

[Camill]

Moin, moin,
ich frage mich dann nur, warum apple im eigenen Store sogar diesen Barrier X Schutz anbietet. Ist das nur für den Spamschutz wichtig? Oder ist das reine Geldmache?
VG
Jochen

 

[MacAlzenau]

Weil Dein Provider nicht dafür verantwortlich ist jede Datei zu scannen die Du runterlädst, zumal meines Wissens auch jeder Provider eine entsprechende Ausschlussklausel in den AGBs hat.

Na dann schreib ich das halt auch in meine AGB.
Warum soll der Provider nicht verantwortlich sein, ich aber schon? Er gibt die Viren ja genauso weiter wie ich es im konstruierten Beispiel täte.

Ich bezweifle auch, daß irgendein Windows-Nutzer sein Zeugs nach Viren für andere Systeme scannt.

 

[ando-x88]

Zurück zur eigentlichen Frage: Was bedeuten die drei Einstellmöglichkeiten bei der Firewall?
Wenn man "Alle eingehenden Verbindungen erlauben" wählt, ist die Firewall dann deaktiviert oder fragt er dann nur nicht mehr, wenn ein Programm eine Verbindung zulassen will?

 

[LL0rd]

Zurück zur eigentlichen Frage: Was bedeuten die drei Einstellmöglichkeiten bei der Firewall?
Wenn man "Alle eingehenden Verbindungen erlauben" wählt, ist die Firewall dann deaktiviert oder fragt er dann nur nicht mehr, wenn ein Programm eine Verbindung zulassen will?

Die Firewall soll verhindern, dass jemand Verbindung mit deinem Rechner herstellen kann.

Beispiel: Du nutzt ein Programm "abcd", in diesem Programm hat der Autor ein Backdoor integriert. Über dieses Backdoor und deine IP Adresse kann er auf deinen Rechner zugreifen. (Erste Einstellung der Firewall)

Wenn du jetzt nicht möchtest, dass offene Ports von Außen angesprochen werden können, dann musst du die mittlere Einstellung verwenden. Dann wird ein Default Ruleset geladen. Aber es kann dann sein, dass einige Programme nicht mehr richtig funzen.

Möchtest du auswählen können, was welches Programm dürfen soll, nimmst du die dritte Option. Damit kannst du auswählen, ob die Verbindungen zugelassen oder blokiert werden.

 

[Camill]

das heisst also dann das bei der ersten Einstellung Angriffe von aussen dennoch blockiert werden?

VG
Jochen

 

[LL0rd]

Ok, stell dir deinen Rechner mal wie ein Haus vor. Im Inneren des Hauses ist alles Wichtige. Da dein Haus keine Türen oder Fenster hat, ist es sicher. Da kann keiner rein oder raus.

Jetzt intallierst du ein Programm, dass Zugriffe von Außen erlaubt. (Du musst es auch nicht selbst installieren, es kann auch eins der Systemtools sein.) Sagen wir mal, es ist der sshd - ein SSH Server, der dir das Einloggen auf deinem Rechner aus der Ferne ermöglicht. Sobald das Programm gestartet ist, bekommst du ein Fenster in deinem Haus.

Dein Haus ist zwar immer noch sicher, aber die Bösen leute können ja das Fenster einschlagen, eindringen und böse Sachen anstellen.

Jetzt kommt die Firewall ins Spiel - oder besser gesagt der Paketfilter (Einstellung 2 und 3). Um dein Haus wird ein Sarkophag gebaut. Bei der Einstellung 2 bekommt der Sarkophag nur die Fenster, die notwendig sind, damit das System läuft. Bei der Einstellung 3 kannst du selbst aussuchen, welche Fenster erstellt werden sollen.

Eine Firewall ist ansich nur etwas Dummes. Irgendwelche perversen Funktionen, wie das Blokieren eines Rechners nach einem Portscann oder nach irgendwelchen ARP Angriffen wirst du unter Unix nicht finden.

 

[rumsi]

Ok, stell dir deinen Rechner mal wie ein Haus vor. Im Inneren des Hauses ist alles Wichtige. Da dein Haus keine Türen oder Fenster hat, ist es sicher. Da kann keiner rein oder raus.

Jetzt intallierst du ein Programm, dass Zugriffe von Außen erlaubt. (Du musst es auch nicht selbst installieren, es kann auch eins der Systemtools sein.) Sagen wir mal, es ist der sshd - ein SSH Server, der dir das Einloggen auf deinem Rechner aus der Ferne ermöglicht. Sobald das Programm gestartet ist, bekommst du ein Fenster in deinem Haus.

Dein Haus ist zwar immer noch sicher, aber die Bösen leute können ja das Fenster einschlagen, eindringen und böse Sachen anstellen.

Jetzt kommt die Firewall ins Spiel - oder besser gesagt der Paketfilter (Einstellung 2 und 3). Um dein Haus wird ein Sarkophag gebaut. Bei der Einstellung 2 bekommt der Sarkophag nur die Fenster, die notwendig sind, damit das System läuft. Bei der Einstellung 3 kannst du selbst aussuchen, welche Fenster erstellt werden sollen.

Eine Firewall ist ansich nur etwas Dummes. Irgendwelche perversen Funktionen, wie das Blokieren eines Rechners nach einem Portscann oder nach irgendwelchen ARP Angriffen wirst du unter Unix nicht finden.

eine sehr schöne erklaerung, wobei ich sagen wuerde, dass der paketfilter doch etwas komplexer arbeitet, immerhin erkennt er je nach paketinhalt welcher stein da gerade zum fenster hineingeflogen kommt und zieht so vorher den rollo zu oder eben nicht

 

[MacMark]

Der Einsatz eines Firewall ist heutzutage auf jedem Betriebssystem notwendig und sinnvoll. ...

Nein,
denn wenn man einen Netzdienst startet, soll er ja auch erreichbar sein. Wenn nicht, schaltet man ihn ab. Wo kein Netzdienst läuft, hat auch eine Firewall nichts zu tun. So läuft es unter Unix. Hier ergibt eine Firewall keinen Sinn. Bei Windows läuft ein anderes Spiel:
Die Firewall-Mode bei Windows kommt daher, weil diverse Windows-Programme Netzdienste anbieten, obwohl sie dies nicht müssen. Stichwort "RPC überall in Windows". Oder wenn ein Programm die SQL-Server-Engine nutzt, dann hat es auch gleich dessen Netzdienste mit im Angebot. Solche Dinge (Designfehler) werden auf Windows gemildert, indem die zwangsweise und unerwünscht offenen Ports per Firewall gedeckelt werden.
Ferner sind Personal Firewalls vergleichbar mit einem Wassergraben in der Burg anstelle vor der Burg: Der Feind ist dann bereits schon auf dem Rechner.

 

[rumsi]

Nein,
denn wenn man einen Netzdienst startet, soll er ja auch erreichbar sein. Wenn nicht, schaltet man ihn ab. Wo kein Netzdienst läuft, hat auch eine Firewall nichts zu tun. So läuft es unter Unix. Hier ergibt eine Firewall keinen Sinn. Bei Windows läuft ein anderes Spiel:
Die Firewall-Mode bei Windows kommt daher, weil diverse Windows-Programme Netzdienste anbieten, obwohl sie dies nicht müssen. Stichwort "RPC überall in Windows". Oder wenn ein Programm die SQL-Server-Engine nutzt, dann hat es auch gleich dessen Netzdienste mit im Angebot. Solche Dinge (Designfehler) werden auf Windows gemildert, indem die zwangsweise und unerwünscht offenen Ports per Firewall gedeckelt werden.
Ferner sind Personal Firewalls vergleichbar mit einem Wassergraben in der Burg anstelle vor der Burg: Der Feind ist dann bereits schon auf dem Rechner.

genau deswegen sollte die firewall vor dem eigentlichen lan sitzen...

 

[seno]

welche Einstellung solle man bei Firewall nutzen ???

 

[QuickMik]

Nein,
denn wenn man einen Netzdienst startet, soll er ja auch erreichbar sein. Wenn nicht, schaltet man ihn ab. Wo kein Netzdienst läuft, hat auch eine Firewall nichts zu tun. So läuft es unter Unix. Hier ergibt eine Firewall keinen Sinn.........
...
Ferner sind Personal Firewalls vergleichbar mit einem Wassergraben in der Burg anstelle vor der Burg: Der Feind ist dann bereits schon auf dem Rechner.

ACK

genau deswegen sollte die firewall vor dem eigentlichen lan sitzen...

ACK

welche Einstellung solle man bei Firewall nutzen ???

wenn man es verallgemeinern kann, dann würde ich sagen "garkeine".
und wenn du über einen router ins netz gehst schon garnicht.
weil du dann sowieso zuminest schon mal über NAT ins netz gehst und von aussen eigentlich nicht erreichbar bist. einfach gesagt.

meines erachtens nach, macht eine firewall nur dort sinn, wo man sich von innen nach aussen schützen will.
also z.b. trojaner die mailserver für spamer spielen usw.
nachdem es aber für os x keinerlei "gnome" oder anderes getier gibt,
bin ich der meinung, das die firewall bei os x nicht aktiv sein sollte.

ich bin das beste beispiel, das es funktioniert.
habe bei ca. unzähligen kisten in zig unternehmen keine firewall aktiv.
und das seit mehr als 10 jahren.

my2cent
mike

 

[pepi]

[…]
meines erachtens nach, macht eine firewall nur dort sinn, wo man sich von innen nach aussen schützen will.[…]

Ich bin der Meinung, daß der Firewall (mit Packetfilter) immer aktiv sein sollte. Sowohl der 10.5 Appfirewall als auch die ipfw. Sehr viele Angriffe auf Rechner kommen von innerhalb des LANs, nicht nur in der Windows Welt. Ein verseuchter PC den ein Kunde/Kollege/Sonstwer im FirmenLAN ansteckt ist schonmal hinter dem ach so sicheren Corporate-Enterprise-Firewall. Von dort aus kann man Attacken natürlich mit deutlich höherer Bandbreite starten als von draussen. Betreibt jemand ein WLAN? (Traut sich das heutzutage noch jemand der sich nicht Arbeit antut 802.1X Authentication zu implementieren und darüber VPN zu fahren?) Es tut keinem User etwas, wenn der Firewall aktiv ist. Folglich tut es ihm auch nichts, wenn der Firewall nichts zu hat. Es ist aber sehr wohl relevant, wenn der auf einmal etwas zu tun bekommt!

Manchmal will man auch Netzwerkdienste aktiviert haben, die einen Port aufmachen (und keinen Socket zur Verfügung stellen) die man aber nicht von draussen erreichbar haben will. (zB einen Testwebserver auf einem Development Rechner, oder Administrationstools wie Webmin, etc.)
Gruß Pepi

 

[QuickMik]

also ein verseuchter PC kann einem OS X nicht wirklich gefährlich werden.
er kann ja keine DOS attacken von 5000 rechnern starten, wenn er nur einer ist.

da sieht man wieder, wie sich die erfahrungen unterscheiden.

ich habe noch 9er rechner als server mit echten IP adressen im netz hängen wie auch OS X server.

ich bin der meinung, das man zuvor wissen sollte, wovor man sich schützen sollte und...
ob es den aufwand überhaupt wert ist.

wäre nicht die erste FW die ich gesehen hätte, die "zerkonfiguriert" ist.

will damit sagen, das man oft stunden an arbeitszeit investiert, nur weil ein obereifriger EDV admin alles sperrt was er nicht kennt.

also über große firmen könnte man stundenlang hier labern.
über unternehmen bis 20 mitarbeiter würde es nicht so lange dauern.

aber auf einem privat rechner firewalleinstellungen zu erfragen ist......humbug.

ich erzähle hier nicht von hätt-ich-wär-ich-bin-ich...sondern von 15 jahren mit mac´s
in allen größenordnungen.

bin der meinung, das ein pessimist eigentlich nur ein realist mit lebenserfahrung ist.
trotzdem bin ich nicht paranoid.

also nochmal.
der jolly user der zuhause über einen NAT router ins netz geht, hat schon garnix zu befürchten.

ciao
mike

 

[pepi]

also ein verseuchter PC kann einem OS X nicht wirklich gefährlich werden.
er kann ja keine DOS attacken von 5000 rechnern starten, wenn er nur einer ist.

da sieht man wieder, wie sich die erfahrungen unterscheiden.

ich habe noch 9er rechner als server mit echten IP adressen im netz hängen wie auch OS X server.

ich bin der meinung, das man zuvor wissen sollte, wovor man sich schützen sollte und...
ob es den aufwand überhaupt wert ist.

wäre nicht die erste FW die ich gesehen hätte, die "zerkonfiguriert" ist.

will damit sagen, das man oft stunden an arbeitszeit investiert, nur weil ein obereifriger EDV admin alles sperrt was er nicht kennt.

also über große firmen könnte man stundenlang hier labern.
über unternehmen bis 20 mitarbeiter würde es nicht so lange dauern.

aber auf einem privat rechner firewalleinstellungen zu erfragen ist......humbug.

ich erzähle hier nicht von hätt-ich-wär-ich-bin-ich...sondern von 15 jahren mit mac´s
in allen größenordnungen.

bin der meinung, das ein pessimist eigentlich nur ein realist mit lebenserfahrung ist.
trotzdem bin ich nicht paranoid.

also nochmal.
der jolly user der zuhause über einen NAT router ins netz geht, hat schon garnix zu befürchten.

ciao
mike

Ach, der kann einem Mac nicht gefährlich werden? Ist das so?

Der PC kann also nicht:

• Eine Bruteforce Attacke auf sämtliche Authentifizierungen im LAN starten
• Damit die Password Policy so lange ärgern bis alle User am Server gesperrt sind (DOS Attack)
• Beginnen SPAM zu versenden, daß der eigene Mailserver auf einer Blacklist landet
• per Floodping auf die Broadcast und Multicast Adressen alleine das Netzwerk lahmlegen (DOS Attack)
• Bekannte Schwachstellen in Services wie mDNS, ARD, VNC, SSH, Web, DAV, etc. ausnutzen?
• Als Member eines Botnets Schaden anrichten für den man zur Rechenschaft gezogen werden kann

Das hat alles nichts mit Paranoia zu tun, sondern sind simple reale Dinge die passieren. Mac OS X ist nicht die Insel der Seeligen. (Auch wenn viele das so sehen (wollen).)

Auf einem Arbeitsplatzrechner haben grundsätzlich sowieso keine Dienste zu laufen die nicht zwingend für die Arbeit erforderlich sind, oder die für die (Fern-)Administration benötigt werden. Falls da jemand etwas aufdreht, dann sollte es zumindest nicht übers Netzwerk erreichbar sein.

Der Jolly User der mit seinem kleinen Router ins Netz geht, hat wahrscheinlich auch UPnP oder NAT-PMP aufgedreht. Damit kann so ein Rechner sogar Ports im Firewall (der ja alles andere vor dem bösen Internet schützt…) öffnen, und Services anbieten. Beispielsweise Phishing Sites hosten, P2P Services mit illegaln Inhalten anbieten, eine FTP Site mit fxp rennen lassen, Passwörter, Kreditkarten und sonstige Infos im LAN mitsniffen, etc.

Es geht ja nicht nur darum, daß man die einzelnen Rechner schützt, sondern auch die User, die Daten, das eigene Netzwerk, die eigenen IPs, etc. Auch auf Mac OS X sind diverse Unix Rootkits laufähig. So eine Spamschleuder kann teuer werden.
Gruß Pepi

 

[QuickMik]

also pepi sein mir nicht böse....
du vermischt da schon einiges.

wer heutzutage mailserver betreibt, die ohne SMTP auth fahren....
die einzelne rechner zig tausend mails schicken lassen.
das hat ja nix mit firewall zu tun, sondern mit dummheit.

ausserdem hat der otto normal jolly keinen mailserver zuhause.

und mitsniffen, rootkit, bruteforce, server gesperrt....

glaubst du das wirklich, das jemand zuhause eine bruteforce attacke auf seinen server bekommt,
den er garnicht hat ?

und wenn jemand vor lauter dummheit seinen NAT ein portmapping auf seine kiste machen läßt,
dem hilt eine firewall mangels knowhow auch nix.

also da halte ich die postings von MacMark und Rumsi bei weitem realistischer...als deine.

aber man muß ja nicht immer einer meinung sein.

jeder soll sich das machen wie er will.
nur wenn der DAU an der FW rumdreht, nütz es im weniger als es ihm schadet.
noch dazu schütz es ihn nicht mal richtig, wenn er nicht weiß, was er da macht.

ciao
mike

 

[pepi]

Zeig mir einen Mailserver bei dem unauthenticated Mail Relay von 127.0.0.1 und ::1 abgeschaltet ist! Abgesehen davon, kann ein verseuchter Rechner auch selbst Mails verschicken. Auf jedem Mac OS X Rechner ist ein kompletter postfix drauf, den man nur noch schnappen muß und los gehts. Ich hab' deswegen auch nicht von Mail-Relay gesprochen.

Die Dummheit ist, einen Rechner nicht mit einem Firewall vor einer (feindlichen) Übernahme zu schützen. So ein Rootkit konfiguriert Dir nämlich gerne mal Deinen Mailserver den jeder Mac dabei hat, oder bringt im Zweifelsfall seinen eigenen mit. Was glaubst Du warum quasi sämtliche privaten IP Ranges von Providern permanent auf Blacklists sind?

Es gibt auch Firmen die Mitarbeiter per VPN ins LAN lassen, oder Firmen die einen Server im LAN stehen haben, oder Priatpersonen die ein NAS auf Linux/BSD Basis daheim stehen haben (ohne zu wissen was da drauf rennt…). Auch daraus kann man prima eine Spamschleuder bauen. Immerhin rennen die Dinger meist 24/7 und werden seltenst untersucht.

Du merkst es doch garnicht wenn Dein Rechner per UPnP auf Deinem Router einen Port aufmacht. Schaust Du alle 10 Sekunden nach? Hast Du (oder wieviele Millionen User) UPnP oder NAT-PMP abgeschaltet? Und selbst dann, wieviele User haben das default Passwort ihres Routers wirklich geändert?

Ich sagte auch nicht, daß der DAU an seiner Firewall in seiner Ahnungslosigkeit rumdoktorn soll. Alleine das Einschalten der Selben kann schon viele Sachen verhindern die der DAU weder bemerkt, noch versteht.

Vieles davon habe ich in Realität schon gesehen, auch geknackte Mac OS X Server, rootkit verseuchte Mac OS X Clients, und auch schon NAS' mit interessanten Zussatzfunktionen von denen der Hersteller bestimmt nichts wußte.

Die größte Gefahr ist der Glaube sicher zu sein!
Gruß Pepi

 

[nachholer]

Ick sag nur WaterRoof oder NoobProof (KLICK).


Und ick sage, wer einer Firewall den Sinn abspricht, der sollte nicht an Netzwerken rumfummeln und behaupten, er hat einen Plan. NAT verhindert nicht das Durchdringen von Routern. Es wird nur etwas erschwert.

Wer sagt, User hinter irgendwelchen Routern müssen sich keinen Kopf machen, verallgemeinert sinnlos. Notebook-Nutzer sind mal hinter einem Router, mal in einem Firmennetzwerk (auch Router) und mal in der freien Wildbahn (UMTS, fremde WLans, ungeschützte Hotspots) und da lässt sich schon einiges mit einem fremden Notebook anstellen.

Die folgende Aussage ist nicht weniger polemisch wie viel Posts hier: Besucht mal jetzt zwischen den Feiertagen den Chaos Communication Congress. Da wird einem ganz anders und es ist prinzipiell Wurst, welches Betriebssystem auf der anderen Seite werkelt. So schnell, wie da manche System besucht werden,...

Immer dieser Bezug auf Unix - es läuft kein vernünftiger Linux-, BSD-Server im Netz ohne Firewall und ohne Virenscanner. Es wäre einfach Tag der offenen Tür. Und ein Admin irgendwelcher Systeme ist sich einfach der Verantwortung bewusst.
Sorry, aber Mac-User, welche sich auf die vermeintliche Sicherheit Ihrer Systeme berufen, verhalten sich genau wie ahnungslose Windows-User, nur dass es einen kleinen, systembedingten, Vorsprung gibt. (...den ich auch nicht absprechen möchte)

Es ist aus meiner Sicht einfach hochmütig, zu behaupten, Mac OS benötigt dieses nicht und jenes nicht, weil es ja ein tolles Unix oder BSD ist.

Hochmut kommt vor dem Fall,...

Nur, weil bis jetzt vermeintlich nichts passiert ist, heisst das nicht, dass nie etwas passieren wird.


Kleine Anekdote: Die ersten Würmer liefen nur auf Unix-Systemen und haben damals die noch kleinen Netze arg ins Schleudern gebracht. Klar, haben alle dazu gelernt. Und damit meine ich wirklich alle - auch die vermeintlich bösen Buben.

Vielleicht sollte man auch noch wissen, dass die Technologie der Viren, Würmer, Trojaner auch im positiven Sinne geforscht wird. Also, die vermeintlich Bösen sind nicht die Einzigen, welche ein Risiko darstellen.

Ich als Switcher mit 16 Jahren WinDos,OS/2,Linux-Erfahrung halte es einfach wie immer: Ich mache mein System so dicht, wie es mir sinnvoll erscheint und versuche, die Risiken der offenen Ports zu bewerten.
Ich hab keine Ahnung, wann ich den letzten Virus oder Trojaner auf meinen Systemen gesehen habe. Meine letzte Prä-MAC-XP Installation war 6 Jahre alt und keinen Schädling aus der Nähe gesehen.

Das größte Problem ist eigentlich, dass Sicherheit unbequem ist. Und ich habe den Eindruck, daß der eine oder andere Mac-User schon sehr bequem ist. Ein Windows-User, der bequem sein will, ist es nicht mehr lange, weil die Kiste nicht mehr läuft. Beim Mac ist noch etwas anders. Aber auch das wird sich ändern.

Edith: Aber mich nervt es eigentlich auch. Ich würde auch gern denkfrei Bonjour und sonstige spannende Netzdienste nutzen.

 

[MacMark]

… Die ersten Würmer liefen nur auf Unix-Systemen …

Das waren Bugs in Netzwerkdiensten, beispielsweise in sendmail und finger, die vom Morris-Wurm genutzt wurden.
Merke: Bugs. UNIX war nie "broken by design".
Wenn Du keine Netzwerkdienste laufen hast, dann kann kein Wurm der Welt über Dich herfallen. Keiner.

Windows hat jedoch immer aufgrund seines Designs Netzdienste laufen: Mindestens das unabschaltbare RPC in Windows selbst und in vielen Anwendungen. Da diese Netzdienste unter Windows nicht abschaltbar sind ohne das System komplett unbrauchbar zu machen, packen sie eine Firewall drüber, die diese Dienste von außen unerreichbar macht.
Merke: Anfällig sogar ohne Bugs per Design; "broken by design".
Die saubere, korrekt Lösung wäre: Abschalten der Netzdienste so wie es bei UNIX geht.

Und in der Tat hatten Würmer ursprünglich einen nützlichen Zweck: Das Konzept der selbstverbreitenden Programme diente der automatischen Auffindung von freien Rechenkapazitäten im Netz und deren automatischer Nutzung für verteilte Anwendungen.

 

[pepi]

Daß es am Chaos Communication Congress überhaupt ein funktionierendes Netzwerk gibt ist schon mehr als ein Wunder der Leute im NOC dort. In keinem anderen Netzwerk auf dem Planeten wird soviel gehackt, gespooft, gescannt und ge-was-Du-Dir-sonst-nichtmal-vorstellen-kannst.

Unix ist immer ein lohnenswertes Ziel, da es enorm viel Infrastruktur für Malware mitbringt die man nicht selbst bauen muß. Es ist schließlich schon quasi alles vorhanden was man so braucht, von Mail über WebServer bis hin zu DNS, DHCP, VPN, etc.

Für den Congress gilt: All Shields up!

Ich fliege hin, wer noch?
Gruß Pepi

 

[MacMark]

… Für den Congress gilt: All Shields up! …

Für Windows ist das die einzige Lösung, aber für UNIX würde ich "all network services off" machen. Dann brauchst Du keine "shields".