1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Was nützt die Firewall

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Kernelpanik, 30.01.07.

  1. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    Hallo Leute,
    Irgendwie ist mir der Sinn einer Firewall nicht ganz klar. z.B:
    Port 80, 443, 21, sind offen für Surfen und ftp runterladen. An den anderen Ports ist kein Service aktiv. Weshalb ist dann eine Firewall notwendig? Nützt ja gar nix. Oder Port 110, 25 sind offen um Mail zu empfangen und senden. Aber sonst sind keine Dienste aktiv auf dem Computer. Dann könnte man die Firewall ja auch ausschalten, oder seh ich da was falsch?
     
  2. macchrissli

    macchrissli Weisser Rosenapfel

    Dabei seit:
    21.05.05
    Beiträge:
    790
    die firewall sorgt eben dafür das über die ports die du nicht nutzt nicht jemand einfach auf deinen rechner kommt sonder diese ports dicht macht.
     
  3. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    Wenn hinter den offenen Ports kein Service aktiv ist, kann der Port lange offen stehen, ein Eindringen ist trotzdem nicht möglich.
     
  4. zeno

    zeno Lane's Prinz Albert

    Dabei seit:
    05.11.05
    Beiträge:
    4.898
    Wenn hinter dem Port kein Service hängt is er ja nichtmal offen, nur nicht geblockt.
     
  5. thrillseeker

    thrillseeker Lord Grosvenor

    Dabei seit:
    06.10.04
    Beiträge:
    3.497
    Ich spinn mal ein hypothetisches Szenario:

    Könnte nicht ein potentielles (und im Moment vermutlich noch nicht existentes) Schadprogramm rein theoretisch einen eigenen Service starten, der den entsprechenden Port nutzt? Dann verhindert nur noch die Firewall, dass dieser Service durch Eindringlinge von außen benutzt werden kann.

    -Stefan
     
  6. debunix

    debunix Prinzenapfel

    Dabei seit:
    13.01.05
    Beiträge:
    550
    Keine offenen Ports = keine Angriffsfläche!
    Keine angebotenen Dienste = keine Angriffsfläche!
    -> Firewall nicht notwendig!!!
     
  7. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Kernelpanik, hier liegt eine Richtungsverwechslung vor.

    Wenn Du Deine Mails abrufst, dann ist am Mailserver der Port 110 (POP3 als Beispiel) offen, nicht bei Dir am Computer. Bei Dir ist das ein (quasi) beliebiger Port der für die ausgehende Verbindung verwendet wird und der lauscht nur auf Antworten auf die Anfrage die er gerade gestellt hat.

    Der Firewall (im herkömmlichen Sinne, und wie er bei Tiger momentan eingesetzt wird) verhindert, daß Anfragen von draussen an einen geöffneten Port gelangen. Dies ist beispielsweise dann sinnvoll wenn Du Irgendein Programm verwendest welches lokal einen Port öffnet. Beispielsweise öffnet mySQL den Port 3306/tcp um auf Netzwerkzugriffe zu hören. Bei Leuten die Webentwicklung machen ist das ein sehr häufiges Szenario. Da dies aber üblicherweise nicht wollen, daß dort jemand von draussen auch auf die Datenbanken zugreifen kann wird der Port vom Firewall für eingehende Verbindungen von außen geblockt. Lokale Verbindungen sind jedoch möglich.

    debunix,
    das ist leider ein Trugschluß. Das Problem ist, daß Du nicht immer weist oder beeinflussen kannst ob und wann ein Programm einen Port öffnet. Grundsätzlich ist es korrekt, daß ein Dienst der nicht läuft weniger Sicherheitslücken verursachen kann. Aber daraus zu schließen, daß ein Firewall nicht notwendig oder sinnvoll ist, ist nicht korrekt.
    Gruß Pepi
     
    #7 pepi, 30.01.07
    Zuletzt bearbeitet: 30.01.07
  8. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    Nein. Wenn Du einen Trojaner auf der Platte hast wird der sicher nicht über eine Internetverbindung getriggert, sondern sendet von sich aus Daten ab. Da nützt die herkömmliche Firewall nichts. Das kann man nur mit LittleSnitch oder GlowWorm verhindern.
    Wenn also ein Service im LAN benutzt wird, vom WAN her aber nicht benutzt werden darf, ist eine Firewall sinnvoll. Aber nochmal die Frage: Wenn hinter einem Port kein Service aktiv ist, ist der Port auch nicht anfällig auf Angriffe. Oder seh ich das falsch?
     
  9. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    Ja ist so. Es besteht dann nur die Gefahr, daß der IP-Stack selbst einen Bug hat und man den Rechner hacken kann, aber das ginge in diesem Szenario auch mit aktiver FireWall.
     
  10. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    Ports kleiner als 1024 sind auf einem UNIX schon immer priviligiert und können nur von einem entsprechend priviligiertem Prozesß benutzt werden. root Prozesse oder solche die speziell via root account gestartet wurden.
     
  11. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    ganz bin ich noch nicht draufgekommen, worauf du hinaus willst.....
    aber egal.

    wenn du z.b. filesharing im LAN laufen läßt (port 548) und du aber nicht willst, das vom WAN jemand zugreift, hat das eigentlich nichts mehr mit deiner kiste, sondern mehr mit der firewall (router) zu tun, der für die verbindung ins internet zuständig ist.

    ob deine FW aktiv ist oder nicht.
    und wie pepi schon richtig schreibt. ich denke auch das du die richtung verwechselst.

    du kannst deine FW einschalten und alle ports die dort angegeben sind schließen...
    so wirst du trotzdem mailen surfen uw. können.
    die FW blockt den verkehr von aussen nach innen.

    war das verständlich?
     
  12. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    ??? Wenn Port 110 und 995 geschlossen sind kann ich keine Mails empfangen.
     
  13. FireballBK

    FireballBK Boskoop

    Dabei seit:
    14.10.06
    Beiträge:
    40
    Wenn der ausgehende Traffic zum Mailserver hin auf den von dir benannten Port blockiert ist, dann kannst du keine Mail empfangen.
     
  14. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    also....villeicht kann ja mich jemand aufklären...

    aber bitte wo drückst du denn rum Kernelpanik?
    kannst mal einen screenshot schicken?
     
  15. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    tjp,
    deswegen verwendet Schadsoftware nur selten Ports südlich von 1024. Mal abgesehen davon, daß auch PortScanner sich üblicherweise auf die Regionen unter 10.000 konzentrieren und daher solche offenen Ports nur dann finden wenn sie dezidiert dazu aufgefordert werden.

    Es gibt auch Schadsoftware die mucksmäuschenstill einfach nur lauscht ob und wer da kommt. Das würde man mit LittleSnitch nicht bemerken, jedoch durch einen eingehenden Firewall (wie den normalen) Mac OS X Firewall unterbinden können.

    Wie ich schon sagte ist das Problem, daß ein Schad-"Dienst" sich den Port aussuchen kann und man es üblicherweise nicht weis, daß ein solcher läuft. Erschwerend kommt hinzu wenn statt tcp auf udp gesetzt wird, welches viele Portscanner überhaupt nicht scannen können oder nur auf gesonderten Auftrag tun. (udp Scans dauern auch lange.)

    Ein Firewall kann nie 100% Sicherheit garantieren oder erwirken. Aber ein Firewall verhindert auf alle Fälle simple Einfallstore zu schließen und es schwieriger (und damit unattraktiver) zu machen irgendwelche Verbindungen einzubauen. Hinzu kommt, daß Bugs in sog. Superservern wie xinted und launchd so nicht so leicht auszunutzen sind.

    Ein ausgehender Application based Firewall hilft dabei zusätzlich solche Dinge zu entdecken. Garantien gibt es allerdings keine. Auch an LittleSnitch kann man Daten vorbeischummeln. Nicht unbedingt einfach, aber es geht.

    Ich bleibe bei meiner Empfehlung den Mac OS X Firewall immer eingeschaltet zu lassen. (Auch daheim im LAN hinterm Router. Der nächste Angreifer könnte sich ja auch im selben Teilnetz wie ich befinden!)
    Gruß Pepi
     
  16. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    Hmm... Firewall-Konfigurationen sind nicht gerade einfach. Gestern hatte ich testhalber alles geblockt. Meine PS2 machte aber immernoch Verbindung. Naja-, ich habe jetzt die Router-Firewall ausgeschaltet und die OSX-Firewall eingeschaltet. Das Problem ist nur, im LAN soll Personal File Sharing aktiv sein, im WAN allerdings nicht. Ich hab mal einen Screeshot von der Router-Firewall reingestellt. Vielleicht kann jemand ein paar Anregungen dazu geben.
     

    Anhänge:

    #16 Kernelpanik, 31.01.07
    Zuletzt bearbeitet: 31.01.07
  17. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.255
    Das ist schlichtweg Blödsinn. Wer einen typischen Router sein eigen nett, hat doch in diesem schon längst eine Firewall eingebaut. Noch eine weitere bringt nicht viel, zumal Firewalls auf demselben Rechner wie der, der geschützt werden soll, faktisch sinnfrei sind. Die billigen Firewalls für zu Hause sind sowieso nur packet filter und keine application level gateways, die Dinger lassen sich relativ leicht überwinden, in dem Sinne, daß man aufs trivialiste Ports für andere Dienste mißbrauchen kann.
    Der ist echt gut. Wie sollte er das? Dazu müßte er schon die Firewall im Router überwinden und wenn er das kann habe ich ein großes Problem. Wer natürlich so dumm ist WLAN und Bluetooth zu benutzen, dem kann eh nicht geholfen werden. Insbesondere Bluetooth ist ein riesigen Einfallstor, WLAN ist nicht viel besser.

    Das große Problem bei der Computer(un)sicherheit ist das Social Engineering und somit sitzt das Sicherheitsproblem fast ausnahmslos vor dem Computer, weil aus Bequemlichkeit notwendige Sicherheitsmaßnahmen ausgehebelt werden.
     
    debunix gefällt das.
  18. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Ich habe nie gesagt, daß Firewalls alles und jeden versuchten Fremdzugriff unterbinden können. Ich habe auch nie Aussagen über die Qualität oder Konfigurierbarkeit irgendwelcher spezifischen Firewalls getroffen. Ich habe auch nicht behauptet, daß man Tools wie LittleSnitch nicht umgehen oder austricksen könnte.

    Naja, er soll ja garnicht. Aber es gibt tatsächlich Netzwerke in denen mehr als ein Computer vorhanden ist. Ob dieser nun dort sein soll oder darf ist relativ unerheblich wenn er es ist. Ob sich da jemand in poehser Absicht durch die Schutzmechanismen Deines WLANs hackt oder ob einfach nur der verseuchte Laptop eines Freundes bei Dir mit einem Kabel am Switch hängt ist unerheblich. Sobald das der Fall ist hast Du einen Angreifer der bereits an Deinem Routerfirewall, egal wie gut der konfiguriert ist vorbei ist. Der Angreifer der aus dem LAN kam. Das geht schneller als man glaubt. Dann hast Du noch den Firewall Deines Rechners der Dich davor schützen kann. Sofern er eingeschaltet ist.

    Aber egal wie man es argumentiert mußt Du in jedem Fall zugeben, daß es aufwändiger sein wird zwei oder mehrere Firewalls zu umgehen als nur einen oder garkeinen. Da man dies mit sehr einfachen Mitteln erreichen kann wäre es meiner Ansicht nach fahrlässig diesen einfachen Schritt nicht zu tun.

    Von Social Engineering hat in diesem Zusammenhang niemand gesprochen und dem kommst Du auch mit Zugangskontrollen nicht bei. Ein gültiges Passwort ist eine Rose ist eine Rose ist eine Rose.

    Außerdem bewahre, daß einer Deiner Mitarbeiter vorsätzlich etwas böses tun will, weil sein letzter Urlaubsantrag nicht gewährt wurde oder weil jemand ihm in der Kantine das letzte Tiramisu vor der Nase weggeschnappt hat.
    Gruß Pepi
     
  19. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
  20. chrisrig

    chrisrig Tydemans Early Worcester

    Dabei seit:
    07.11.06
    Beiträge:
    399
    Hallo,
    danke für den link, sehr interessant und sehr gut gemacht :)

    wieviel Firewalls ein Mensch braucht um sich sicher zu fühlen bleibt wohl Geschmackssache...

    GRUZ
     

Diese Seite empfehlen