[10.11 El Capitan] Screensharing / Bildschirmfreigabe trotz korrekter Firewall-Einatellungen blockiert

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Ikkyusojun, 28.04.16.

  1. Ikkyusojun

    Ikkyusojun Gloster

    Dabei seit:
    17.05.13
    Beiträge:
    62
    Hallo,


    wenn ich die FW ausschalte, funktioniert ScreenSharing, ist sie an, geht es trotz korrekter Einstellungen nicht. Ein paar Tage lang funktionierte es nach Ersteinrichtung des Rechners. Dann plötzlich nicht mehr. Habe alle Einstellungen mehrfach zurückgestzt. Nix hift. Kann jemand eine Lösung anbieten?

    Danke
     
  2. Dippel

    Dippel Zuccalmaglios Renette

    Dabei seit:
    30.07.14
    Beiträge:
    257
    Um Dir zu helfen, musst Du noch ein wenig mehr Details Preis geben.

    Z.B. Welcher Router? Welches Programm für die Bildschirmfreigabe? Welche Geräte benutzt Du?

    Die FireWall abzustellen ist nie eine gute Idee, nur so als Tipp.
     
  3. Ikkyusojun

    Ikkyusojun Gloster

    Dabei seit:
    17.05.13
    Beiträge:
    62
    Hm. Genau. Desswegen ist das Problem ja so ärgerlich^^
    Ich hatte das nur erwähnt, um zu verdeutlich, dass abseits der FW alles korrekt ist.
    PS:
    - internes Netzwerk
    - Airport via Apple AExtreme
    - das Problem ist die lokale FW des Zielrechners
    - die FW schließt nach ab-/anmelden immer die einige Ports (screensharingd?)
    - auf dem Zielrechner (frisch installiert: El Capitan + alle Updates on board) sind alle Zugriffsrechte korrekt gesetzt
     
  4. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Wie sehen denn deine Einstellungen bei der Firewall aus und die Liste der erlaubten Anwendungen?
     
  5. Ikkyusojun

    Ikkyusojun Gloster

    Dabei seit:
    17.05.13
    Beiträge:
    62
    Screensharing: ON
    Remot Login (SSH): ON
    Remote Management (ARD): ON - dann erhalte ich die Meldung, dass RM Screensharing kontrolliert

    Bei allen Diensten sind jeweils "Einige Benutzer" ausgewählt, wobei diese beim Remote Management in den weiteren Optionen umfassende Rechte bekommen.

    Das System fragt dann nach, ob man diesen und jenen Dienst in der FW für eingehende Daten freigeben wolle, was ich, da die Dienstnamen recht kryptisch sind, testweise bejahe.

    In der FW
    Alle eingehenden Verbindungen blockieren: OFF
    Signierter SW automatisch Verbindungen erlauben: OFF
    Tarnmodus: ON

    Bei den Diensten werden
    ScreenSharing
    RemoteLlogin
    RemoteManagement grün dargestellt

    Etwas unvorhersehbar ist nun die Darstellung der einzelnen Anwendungen darunter (hierzu muss man wissen, ich habe mehrfach n CleanInstall durchgeführt und die Konfiguration mehrfach auch in gleicher Weise und Reihenfolge durchgeführt und zwar jeweils als Admin), trotzdem
    - variieren die angegebenen Dienste in der Liste erheblich von Mal zu Mal
    - verschiedene relevante Apps, die ich auf o. g. Nachfragen des Systems ausdrücklich freigegeben habe, werden blockiert dargestellt, insbesondere "screensharingd" sticht dabei heraus
    - selbst wenn ich diese nun manuell wieder freischalte, werden diese, sehr regelhaft vor allem "screensharingd" nach einem Neustart, oder auch nur nach schließen und erneutem öffnen der FW-Konfiguration, als geblocked angezeigt.

    Das Problem tritt auch auf, wenn ich auf Remote Login und -Management verzichte, also nur Screensharing aktiviere.

    Löschen der FW-Configuration ("...alf.plist") bringt keinen dauerhaften Erfolg.

    Auf einem System habe ich es mal stabil hingekriegt, das habe ich noch als Klon, möchte dort aber verschiedene Konfigurationen der Adminnutzer ändern und befürchte, dass dann wieder alles spinnt. Zumal es keine Lösung sein kann, in einer derart zentralen Systemkonfiguration dauerhaft auf einen Klon angwiesen zu sein.

    Das Verhalten ähnelt sich auf verschiedenen Rechnern unter verschiedenen OS-Versionen (Mavericks, Yosemite, El Capitan).

    Ich bin durchaus kein Einzelfall: In den Apple-Support-Communities, sowie im sonstigen Internet, gibts verschiedene Threads dazu, mit z. T. obskuren und daher langfristig nicht nachhaltigen Lösungsansätzen: man soll mehrfach hintereinander SchreenSharing aktivieren / deaktivieren... etc.

    Mir scheint es, dass "entweder" oder "und"
    - die File-Berechtigungen bzw. die notwendigen Berechtigungen der Adminuser nicht korrekt konfiguriert sind
    - Das "Freigaben"-PrefPane nicht die entsprechenden Rechte besitzt, um die FW-Config "..alf.plist" zu lesen / konfigurieren, oder falsche Vorgaben hat, die es einstellt.

    Besonders ärgerlich ist, das das Problem seit Jahren besteht (siehe Support-Communities) und Apple entweder das Problem nicht lösen kann (oder will) und es auch nicht ausreichend dokumentiert (z. B. wäre es ärgerlich und letztlich aus meiner Perspektive unverständlich, unnötig, und hinsichtlich der Bedienbarkeit und Systemsicherheit kontraproduktiv, aber Apple könnte auch einfach schreiben: Wenn sie ScreenSharing etc. nutzen wollen: schalten sie die lokale FW aus; das wäre zumindes konsequent und ehrlich).

    Ich habe ein höhes Sicherheitsbedürfnis. Nach meinem technischen Verständnis schließen sich eine Application-Level-Firewall und Screensharing, Remote Login (SSH) sowie Remote Management (ARD) nicht aus. Und es macht auch Sinn, in einem LAN den Server gegen ....-User basal mittels lokaler FW zusätzlich zu schützen.

    Als nächstes werde ich versuchen, wenn ich "root" aktiviere und es von dort konfiguriere. Ob wohl ich das gerne vermeiden möchte, selbst wenn man root auch wieder deaktivieren kann.

    Langsam verliere ich die Lust, wegen so nem ... eigentlich als banal anzusehendem Problem mich derartig zu beschäftigen. Ich weiß nicht, wie Buisiness-User das sehen. Aber wenn entweder (FW) / oder (ScreenSharing und Konsorten) Apples Sicherheitspolitik ist... dann danke...

    Frustrierte Grüße
     
  6. deloco

    deloco Lord Grosvenor

    Dabei seit:
    14.11.07
    Beiträge:
    3.491
    Das stimmt nicht. In vielen Fällen ist die OS X Firewall mehr Sicherheitsrisiko, als nutzen. Befindet man sich hinter einem Router, benötigt man keine Firewall im System. Es gibt schon einen Grund, warum die Standardmäßig ausgeschaltet ist.
     
    Macbeatnik gefällt das.
  7. Ikkyusojun

    Ikkyusojun Gloster

    Dabei seit:
    17.05.13
    Beiträge:
    62
    Ich bin gespannt auf die Begründung, in wie fern die Apple Firewall ein Sicherheitsrisiko darstellt.
    Bitte.. Warum?
     
  8. nomos

    nomos Goldrenette von Peasgood

    Dabei seit:
    22.12.03
    Beiträge:
    7.673
    Die greifen dann lieber zu TeamViewer :)
     
  9. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    29.330
    Hier findest du zum Beispiel eines an Für und Wider, oder was man nicht unbedingt einschalten sollte.
    https://www.bsi.bund.de/DE/Themen/I...utzKataloge/Inhalt/_content/m/m05/m05166.html
    Nur zur Info meine OS X Firewall war auf allen meinen Rechner noch nie aktiviert, bedeutet zwar jetzt nicht, nur als info.
     
    deloco gefällt das.
  10. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Wenn du im Bezug auf die Firewall schon sämtliche Einstellungen entfernt hast und eine Websuche darauf hindeutet, dass es hier ein Problem gibt, kann man vermutlich nicht viel ändern. Macht es denn einen Unterschied wenn die Option ‘Signierter SW automatisch Verbindungen erlauben’ aktiviert ist? Vielleicht verhindert sie einen erneuten Zugriff von screensharingd.

    Die Firewall in den Systemeinstellungen ist, wie schon angedeutet, auch nur eine zusätzliche Firewall (lese auch hier: http://www.macmark.de/osx_security.php#firewall). Diese bewirkt nur, dass du einzelne Programme mit zusätzlichen Netzwerkfunktionen den Netzwerkzugang blockieren kannst. Sie bringt also, glaube ich, nur wirklich etwas, wenn du damit einzelne Programme auch tatsächlich blockierst. Alles was du dort erlaubst, wird von dieser Firewall so nicht beeinträchtigt. Gibt es denn Programme denen du den Netzwerkzugriff absolut nicht erlauben möchtest? Mit bestimmten Begründungen?

    Im Link von Macbeatnik wird auch etwas zum Tarnmodus gesagt. Es wird empfohlen um diese Option nicht einzuschalten. Eine weitere Erklärung findest du hier: http://www.macmark.de/blog/osx_blog_2008-10.php#stealth_macup_2008_11.
     
  11. Ikkyusojun

    Ikkyusojun Gloster

    Dabei seit:
    17.05.13
    Beiträge:
    62
    Ok, also den Teil mit dem Tarnmodus kann ich nachvollziehen.


    Aber nirgendwo wird explizit das nicht-aktivieren bzw. deaktivieren der ALF gefordert. Den zitierten BSI-Artikel verstehe ich _eher_ gegenteilig.


    Insgesamt aber: Leider helfen mir die Nachrichten nicht. Und so oder so ist das von mir beschriebene Verhalten des Systems, welches dem Threa seinem Namen gab, bedenklich, weil intransparent und inkongruent.