1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Firewall UDP Verkehr Leopard

Dieses Thema im Forum "macOS & OS X" wurde erstellt von radical_x, 27.10.07.

  1. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    servus an alle..

    JA LEOPARD IS DA :D HEHE *JUHUU*

    nach einem langen aber problemlosen aufspielen von leopard fällt mir gerade etwas auf.
    in den firewall-einstellungen konnte man bisher folgendes auswählen:
    -firewall-protokollierug
    -tarn-modus
    -und den jetzt fehlenden "reiter" zwecks UDP-Blockierung.

    kann mir einer verraten wo der hin is? gefunden hab ich ihn bis jetzt noch nich, das is plöhdt :D
    wäre cool wenn ihr mir helfen könntet
     
  2. MacMan2

    MacMan2 Gast

    Ist zu finden unter Sicherheit neben Filevault, da kannst du auch Programmen erlauben nach Hause zu telefonieren.

    MacMan2
     
  3. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    dann schimpf ich mich jetzt einfach mal als blinder unter den einäugigen :D thx für die schnelle antwort...
     
  4. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Tut Euch das bloß nicht an und schaut euch auch noch die Rules der ipfw an. (zB wenn man die auf "alles blockieren" stellt in den Systemeinstellungen > Sicherheit >Firewall) Da bekommt man erstmal einen Infarkt. Zur neuen ApplicationFirewall gibt es bisher absolut keine Dokumentation. Bis dahin ist Apple's Firewall so wie auch schon unter Tiger mehr eine Farce denn wirksam... Ich warte nur bis der BugReporter von Apple wieder zugänglich ist um den nächsten Schwund Bugs zu melden... Vielleicht sollte ich mal einen Thread dazu eröffnen?
    Gruß Pepi
     
    Bier gefällt das.
  5. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    ja watt jetz, der eine sagt so, der andere so.....hmmm...*grübel* also ich fand die erweiterung "udp verkehr blockieren" bei tiger recht angenehm...und jetzt ohne doku oder sonst was für die fw werd ich sicher nix dran rumschrauben solang ich net weiss was das ding macht...werden wir wohl warten müssen...

    @pepi:
    wäre wohl net schlecht, aber dann bitte hier verlinken, damit wir uns zeit sparen was die suche angeht. thx schonmal...

    greetz
     
  6. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Wobei das "UDP Blockieren" auch eher eine peinliche verarschung Bezeichnung war, wenn dann immer noch so Sachen wie CUPS, ntp und ein paar andere Dinge erreichbar sind...
    Das Problem ist, daß ich momentan nicht genau weis was der Firewall tut, bzw. weis, daß er einige nicht tut, von dem aber behauptet wird, daß er es tut und ich mangels Dokumentation nicht eingreifen kann um meine Kiste zu schützen.

    Ich würde mich wirklich freuen wenn sich jemand mit tiefergehender ipfw/ip6fw und socketfilterfw Kenntnis hier einschalten könnte. Momentan fühle ich mich aufgrund der unbekannten Firewall Situation und Funktinalität unter Leopard gemäß meinen Test sehr unsicher...
    Gruß Pepi
     
  7. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    ich hab mal irgendwann ne seite gefunden, die recht gut die ganzen tricks und kniffe unter mac os x 10.4 beschreibt, kennt man vlt auch schon....hoffe drauf dass da demnächst auch noch tipps für 10.5 kommen....schade is es schon, dass apple da keine hilfestellung (meiner kenntnis nach) liefert...

    what ever, ich geh jetzt pennen...bis die tage
     
  8. hrscott

    hrscott Gast

    hm, bitte mal für mich ...o_O

    ich hab nun "Zugriff auf bestimmt Dienste u Programme festlegen" angeklickt.

    Dazu noch "protokollieren " und "Tarnmodus".

    Bin ich jetzt korrekt eingestellt um sicher zu surfen ?

    P.S.: Hatte jetzt seit Freitag anscheinend gar keine Firewall, war aber online. Soll man sich da jetzt Sorgen machen ???

    Sorry für die viell. doofen Fragen aber 10 Jahre Windows hinterlassen Spuren :innocent:
     
  9. wolfsbein

    wolfsbein Jerseymac

    Dabei seit:
    29.06.05
    Beiträge:
    448
    Der Tarnmodus ist Schwachsinn. Der verraet erst Recht, dass da ein Rechner ist. Ansonsten wuerden mich die Erkenntisse von Pepi sehr interessieren. Die c't schreibt ebenfalls von Problemen mit der Firewall.
     
  10. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    und was schlägt man dann vor wenn nicht den Tarnmodus? gibts evtl. ne drittanbieter software (natürlich möglichst kostengünstig), die den dienst besser verichtet als die interne fw? ausser clamXav-gedöhns?
     
  11. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Der Tarnmodus ergänzt in der ipfw einen einzigen Eintrag:
    33300 0 0 deny icmp from any to me in icmptypes 8
    Blockiert also nur Echo Request Packete (auch als Ping bekannt). Dies zu unterbinden ist in der Tat eher unsinnig, bzw. in den Dimensionen eines einzelnen Arbeitsplatzrechners völlig unnötig.

    Sonst enthält die ipfw auch in der Einstellung "Sämtlichen Trafic blockieren" nur eine einzige weitere Regel und die lautet tatsächlich 65535 2423207 2089704376 allow ip from any to any, läßt also alles durch. Nicht unbedingt das was ich unter "alles blockieren" verstehe.

    Ein simpler Portscan von interessanten Ports zeigt dann, daß einige Ports offen sind. Was nicht weiter verwundert, da die ipfw ja keinerlei Filterung vornimmt. Offenbar werden die verbleibenden Ports von der ApplicationFirewall blockiert. Nachdem es zu dieser jedoch keinerlei Dokumentation gibt und es auch keine Einstellmöglichkeiten gibt, fühle ich mich momentan nicht wirklich wohl. Ich hoffe, daß Apple da sehr bald (am Besten vorvorgestern) mit Infos rausrückt. Ich habe auf alle Fälle mal diese Situation als Sicherheitskritischen Bug bei Apple gemeldet, da auch ein funktionierender aber nicht einstellbarer oder dokumentierter Firewall keine überprüfbare Sicherheit bietet.

    @radical_x:
    Clam AV ist eine Virenscanner, und keine Firewall Software, das sind zwei vollkommen unterschiedliche Paar Schuhe.
    Gruß Pepi
     
  12. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Hi pepi und so ;)

    Also ich bin mir derzeit bei Leopard gar nicht sicher, ob überhaupt eine spezielle Firewall nötig ist. Ein Packetfilter wie die ipfw dient normalerweise der Netzwerktrennung. Somit ist es nicht unbedingt aus Sicherheits-Architektur betreffender Sicht von Nöten manuell zu restriktivieren. Unix, auch Apple OS Leopard, schließen Ports automatisch, die nicht benötigt werden.

    Ob die derzeitige Implementation der einzelnen Services ausreicht... ist eine Frage für sich, wenn wir über so was reden.

    Was definitiv wieder mal ein Griff ins Klo war ist der incoming-Traffic Kontroll-Kram. Was soll denn so was? Wenn da wirklich alle Programme, die da nicht als erlaubt stehen, keinen eingehenden Datenverkehr bekämen, dann würden speziell Tools wie ping oder traceroute im Terminal nicht mehr funktionieren. Dies tun sie aber. Selbst paratrace, hping usw. funktionieren... ohne Eintrag.

    Aus software-ergonomischer Sicht sieht dieses Zeug jedenfalls aus wie Bullshit. Die sonst recht gut gewordene Hilfe ist hier ein Witz! Anscheinend hat Apple immer noch nichts dazugelernt, denn obskur ist und bleibt so was.
    Auf mich wirkt so was jedenfalls seltsam, aber es ist andererseits auch so: der User schreit nach ner Firewall und schreined dumme sogenannte "Fachmagazine" sind weder in der Lage das Ganze gesamt zu betrachten, noch das System selbst zu verstehen; doch da liegt die werbemachende Drittmacht Presse.
    Das Feature zu haben heißt nämlich noch nicht, dass es bei einem System, das sich verkaufen soll, benötigt wird.

    Hier mal ein Skript von mir, das ich nur Leuten empfehle, die wissen, was drin steht:

    Code:
    #/bin/zsh
    #
    
    ipfw add  00100 allow ip from any to any via lo*
    ipfw add  00110 deny ip from 127.0.0.0/8 to any in
    ipfw add  00120 deny ip from any to 127.0.0.0/8 in
    ipfw add  00130 deny ip from 224.0.0.0/3 to any in
    ipfw add  00140 deny tcp from any to 224.0.0.0/3 in
    ipfw add  01000 allow ip from any to me dst-port 22 in
    ipfw add  01100 allow tcp from any to any out
    ipfw add  01100 allow tcp from any to any established
    ipfw add  01200 deny ip from any to any ipoptions rr
    ipfw add  01300 deny ip from any to any ipoptions ts
    ipfw add  01400 deny ip from any to any ipoptions lsrr
    ipfw add  01500 deny ip from any to any ipoptions ssrr
    ipfw add  01700 deny tcp from any to any tcpflags syn,fin
    ipfw add  01710 deny tcp from any to any tcpflags syn,rst
    ipfw add  01720 deny tcp from any 0 to any
    ipfw add  01730 deny tcp from any to any dst-port 0
    ipfw add  01740 deny udp from any 0 to any
    ipfw add  01750 deny udp from any to any dst-port 0
    ipfw add  01760 deny ip from 224.0.0.0/4 to any in
    ipfw add  01770 deny ip from 0.0.0.0/8 to any
    ipfw add  65534 deny tcp from any to any
    ipfw add  65535 allow ip from any to any
    
    # ipfw pipe 1 config bw 210Kbit/s queue 50 delay 0ms
    
    Somit macht die ipfw jedenfalls Sinn... aber ob das Sinn macht, es anzuwenden, weiß ich nicht. Ich machs einfach mal. Liegt mehr oder weniger daran, dass ich mich für den Kram interessiere. Aus Nutzersicht ... hmmh... nötig... eher nicht.
    Das seh ich unter Tiger aber wieder anders.

    Gruß,
    Bier
     
  13. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    @bier:
    recht interessante ansicht, die ich größtenteils ebenfalls vertreten kann. und das aus gutem gewissen, unter windows hätte das dann "ich vertrete das weil sich das alles besser anhört als der rest von microsoft" gelautet. was mich noch mehr interessiert ist die aussage "Hier mal ein Skript von mir, das ich nur Leuten empfehle, die wissen, was drin steht:"....was steht denn drin? :D
     
  14. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Die Mac OS X Firewall ist definitiv stateful, läßt also Antworten auf Anfragen zu. Deswegen funktioniert auch im Prinzip alles was erstmal eine ausgehende Anfrage sendet. Das ist grundsätzlich ja auch in Ordnung und wer das kontollieren möchte ist mit LittleSnitch wohl momentan auch recht gut bedient. Speziell mit dem hervorragenden UserInterface der 2er Version.

    Der Application Firewall arbeitet (vermutlich) so, daß er die entsprechenden Ports automatisch freischaltet sobald eine zugelassene Applikation auf einen LISTEN Handler öffnet. Was mich dabei stört ist, daß ich nicht sagen kann, wo diese Applikation überhaupt lauschen darf, und ich bei mancher Applikation auch nicht weis wo sie das überhaupt tut. (Außer ich hol mir ein netstat.) Wie gesagt, am meisten stört mich momentan, daß das GUI zum Firewall nichtmal die Bezeichnung "Frechheit" verdient, daß das noch zu gut behaftet ist und das Allerschlimmste ist der Mangel jeglicher Dokumentation zu Funktionsweise und Konfiguration.

    Es gibt auf jeden Fall wieder mal irgendwelche Factory Rules die irgendwo herkommen und irgendwas tun was man nicht beeinflussen kann. Interessanterweise ergeben Portscans mit nmap einigermaßen inkonsistente Ergebnisse. Unabhängig davon will ich daß alle vorhandenen Firewalls gemeinsam dafür sorgen, daß von draußen alles dicht ist wenn ich auf "jeglichen eingehenden Traffic blockieren" klicke. Ich will dann nicht, daß z.B. ein Port 123/udp (ntp) offen ist. Alles ist alles und zu hat gefälligst auch wirklich alles geschlossen zu halten.

    @radical_x
    Für Dich ist das Skript definitiv nicht geeignet, da Du offenbar schon beim Lesen und nicht erst am Verständnis des Skriptes scheiterst.


    @Bier
    Welchen Grund hat es, daß Du in Rules 00130 und 00140 224.0.0.0/3 anstatt 224.0.0.0/4 (IANA Multicast reserved) angibst? Die die sich weniger damit auskennen sollten evt. Rule 01000 weglassen und somit auch SSH blocken.
    Gruß Pepi
     
  15. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    @pepi:

    @radical_x:
    Clam AV ist eine Virenscanner, und keine Firewall Software, das sind zwei vollkommen unterschiedliche Paar Schuhe.

    sorry, war auf der falschen fährte...*um gnade fleh*
     
  16. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    wolfsbein,
    Danke für den Link.

    Leo vom fscklog bestätigt man diese Meldung ebenfalls. Ich hoffe, daß Apple diese Scheiße (nein nicht durchgestrichen und schön formuliert, man möge mir vergeben, aber ich sehe das wirklich so) ungefähr allerspätestens vorvorgestern mit einem Update fixed...
    Gruß Pepi
     
  17. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    hab da auch mal ne nette seite gefunden und mich n bissle eingelesen, da wird das alles schon verständlicher...is zwar noch fürn tiger, aber sollte soweit ohne probleme in leo umsetzbar sein...

    http://www.chaos-net.de/
     
  18. radical_x

    radical_x Fießers Erstling

    Dabei seit:
    05.05.07
    Beiträge:
    127
    also, ich hab mich mal n bissl reingelesen und meine fw-config schaut aktuell mal so aus...recht einfach aber laut diversen quellen erstmal ausreichend, besser als die gui :D is im prinzip ne abgespeckte version gegenüber der version von bier...ach ja: ICH VERSTEH'S NU N BISSL *FROI* :D

    02000 allow ip from any to any via lo*
    02010 deny ip from 127.0.0.0/8 to any in
    02020 deny ip from any to 127.0.0.0/8 in
    02030 deny ip from 224.0.0.0/3 to any in
    02040 deny tcp from any to 224.0.0.0/3 in
    65535 allow ip from any to any

    was nur heute gemerkt hab, nachdem ich neu gebootet hab, waren die einstellungen unter "sudo ipfw list" alle wech bis auf die 65535...hat da jmd ne antwort drauf?

    thx & greetz
     

Diese Seite empfehlen