Zusätzliche Firewall nötig?

[MacMark]

… da würden schon einige verbraucherschützer u.ä. auf die barrikaden steigen.… ich muß sagen, das ich von M$ sehr überrascht war, das die derartige dinge nicht mehr machen.…

Es sollte nur verdeutlichen, daß die Privatsphäre, die man sich von Little Snitch erhofft, nicht garantiert werden kann. Es genügen einfache Tricks.

Bei MS bin ich mir nicht ganz sicher: Meines Wissens ist unbekannt, welche Daten bei der Aktivierung fliessen und welche für Updates übermittelt werden.

Ähnlich bei Blizzard: Um Cheatern zu begegnen, schnüffelt ihre Software auch rum. Soweit ich weiß.

 

[ace777]

Eine kleine Frage zum Thema hätte ich auch: Ich habe mir vorhin mal das MacUpdate Promo Bundle gekauft (in erster Linie wegen Parallels), zu dessen Lieferumfang auch NetBarrier X5 gehört.

Lohnt sich eine Installation dieses Programms oder ist es eher als überflüssiger Ballast anzusehen?

 

[QuickMik]

Bei MS bin ich mir nicht ganz sicher: Meines Wissens ist unbekannt, welche Daten bei der Aktivierung fliessen und welche für Updates übermittelt werden.

das sind genau diese geschichten, die ich nicht so mag.
sollte klar sein, was da alles ausgetauscht wird...und an mir liegen, ob ich das rausrücken will.

also bei M$ hab ich nur volume lizenzen (oder wie das zeug bei M$ heißen mag) installiert...
da braucht es keine aktivierung (ebenso wie bei adobe).
und hab mich auf die lauer gelegt
verhalten sich angenehm ruhig und man kann den online updater abdrehen, bevor er nachhause telefoniert hat.

anders als bei adobe !!!
wenn er fragt, ob man sich jetzt oder später reg. will.....war er schon zuhause!
das ist nicht so meines, darum bearbeite ich sämtliche host dateien.
weil es ja auch noch dazu kommt, das jede adobe appl. beim öffnen ebenso nach hause telefonert.

sorry...das muß nicht sein.
sie wollen ja sowieso schon die schuhgröße wissen, wenn man ein upgrade bestellt.

aber du hast recht. garantie gibt es mit LS dafür nicht.
er hilft aber zumindest besser als alles andere.
apple schert sich um den ausgehenden traffic recht wenig.....
und wie gesagt, wenn man dann in richtung HW firewall geht, braucht man schon richtig knowhow, damit es auch sinn macht, wenn man sich das teil reinhängt.

wobei...nochmal....kirche im dorf lassen....der von dir beschriebene fall hat ja nix mit "gnomen" zu tun.
"ein anderes programm macht safari auf und surft wo hin"......ist mit einer richtigen FW auch schon recht schwer zu unterbinden.

 

[iStefan]

Eine kleine Frage zum Thema hätte ich auch: Ich habe mir vorhin mal das MacUpdate Promo Bundle gekauft (in erster Linie wegen Parallels), zu dessen Lieferumfang auch NetBarrier X5 gehört.

Lohnt sich eine Installation dieses Programms oder ist es eher als überflüssiger Ballast anzusehen?

Ohne entsprechendes Netzwerkkonzept und Know-how über den Netzverkehr und seine Auswirkungen lohnt sich keine FW (egal ob explizit und/oder implizit), weil nur eine Scheinsicherheit suggeriert wird. Auch bei einem derartigen Tool müssen die Regeln von Dir definiert bzw. verfeinert werden, damit es richtig funktioniert.
Beispiel: Mein Heimrouter publiziert keine Ports eines Rechners direkt ins Internet. Weiterhin arbeit er mit NAT. Die Gefahr von Außen ist damit sehr gering. Auf den Rechnern selber läuft nur das notwendigste und nichts, was ohne mein Wissen "Nach Hause telefonieren" will (habe aus diesem Grund auch alle Adobe-Produkte verbannt).
Aus diesen Gründen läuft auf meinen Mac's keine FW.
Übrigens auch nicht auf den Rechnern in unserer Firma. Der Konfigurations- und Wartungsaufwand wäre viel zu hoch.
Noch mal: Eine wirksame FW setzt Spezialwissen voraus und ist vereinfacht gesprochen eine Kombination aus Netzwerkaufbau und Software.
Weiteres Beispiel: Wichtiger als der Schutz von Port 20,21 für ftp ist die Frage: Brauchst Du es? Falls nicht deaktivieren, denn dann kann auch keiner auf mögliche Anfragen antworten.
Bevor Du nun weiter über das von Dir beschriebene Tool nachdenkst schau doch einmal meinen Beitrag #9 hier an.
Mit OS X stehen Dir schon viele Bordmittel zur Verfügung.
Stefan

 

[ace777]

@ iStefan: Vielen Dank für deine interessanten Ausführungen, insbesondere auch in Beitrag #9. Hast mir sehr weitergeholfen.

 

[QuickMik]

Aus diesen Gründen läuft auf meinen Mac's keine FW.

ACK
und es gibt auch nichts hinzuzufügen.

 

[MacMark]

… zu dessen Lieferumfang auch NetBarrier X5 gehört. Lohnt sich eine Installation dieses Programms oder ist es eher als überflüssiger Ballast anzusehen?

Ich würde es nicht tun: Jede weitere Software, die unter root läuft, vergrößert die Angriffsfläche und erleichtert mit eigenen Fehlern dem Angreifer die Arbeit. Schneller wird der Rechner dadurch nicht.
Mit etwas vorsichtiger Grundhaltung beim Installieren und Einsatz von Bordmitteln, kann man auf so etwas verzichten. Das zusätzliche Risiko bringt zu wenig Nutzen.

Eigentore durch "Schutz":
http://www.macmark.de/osx_security.php#eigentore

Untersuchen von neuen Dateien:
http://www.macmark.de/osx_terminal.php#examine

Testen von neuen Dateien:
http://www.macmark.de/osx_terminal.php#sandbox_exec

Personal Firewalls werden dank Windows überbewertet. Windows und seine Programme haben diverse Tore offen allein schon aufgrund des RPC-Fehleinsatzes auf diesem System. Diesen Architekturfehler gleichen sie durch Firewalls aus. Hat man den Fehler nicht, braucht man auch keinen Fix - mal einfach ausgedrückt.
http://www.macmark.de/osx_security.php#RPC_everywhere

Beispiel für unerwartete Netzwerkangriffe (dank RPC) auf Windows
http://www.macmark.de/osx_security.php#beispiel_angriffswege_windows

 

[ace777]

@ MacMark: Danke! Erstklassige Homepage!!!

 

[tjp]

Lohnt sich eine Installation dieses Programms oder ist es eher als überflüssiger Ballast anzusehen?

Falls Du wirklich etwas in den Schutz des Rechners investieren willst, solltest Du Dir eine externe Firewall Appliance anschaffen, das ist sinnvoller.

 

[ace777]

@ tjp: Lohnt sich das denn für den Privatbereich? Ich habe ja eigentlich nur mein Macbook und mein iPhone im Einsatz (in Kombination mit einem Standardrouter und einer Airport Extreme Basisstation). Hättest du denn vielleicht eine gute (und halbwegs bezahlbare) Produktempfehlung für mich?

 

[QuickMik]

also viel hast du jetzt ja nicht mitgelesen.....

aber dann kauf dir hat irgendeine. du wirst weder damit sinnvoll umgehen können...
und allene aus diesem grund, wird sie dich auch nicht schützen.

aber genau das disskutieren wir doch gerade schon über 3 seiten.

aber ich hab mich schon damit abgefunden, das ich nicht alle beiträge verstehen kann.....

 

[ace777]

Mitgelesen hab' ich schon, aber ich behaupte einfach mal ganz frech, daß die richtige Konfiguration einer HW Firewall ja wohl kein Hexenwerk sein kann und insofern vielleicht auch für mich erlernbar sein sollte. Oder bin ich da deiner Meinung nach auf dem Holzweg?

 

[QuickMik]

also wenn du es unbedingt....und vor allem für den privat bereich lernen willst, dann kauf dir so ein kastl.
aber FW knowhow setzt netzwerk und TCP/IP knowhow vorraus.

und vor allem solltest du wissen, wovor du dich schützt.
sonst tut man sich ja mit der konfig schwer.

stellt sich jetzt die frage, was dir da bei OSX hinter einem NAT router übrig bleibt.

ca. oder ungefähr gleich NIX.

so kann ich zusammenfassend nur sagen, kauf dir eine FW zum konfigurieren-spielen...
und spiel dich solange, bis in deinem netzwerk nix mehr funktioniert.

oder kauf dir eine guggidruggi kamera und geh an die frische luft knipsen.
letzteres tut dir wenigstens gut.

ich war heute schon frühstücken im purberg
ähhhhhhhh....und firewall hab ich keine, obwohl ich in der lage wäre selbige zu bedienen und zu konfigurieren.

allerdings weiß ich, das ich keine brauche.
ebenso wenig wie einen virenscanner. ooops das nächste schlimme thema.

also.....der mac läßt dir zeit mit deinem computer zu arbeiten.
ist also anders wie bei windows.....computer sind dazu da um probleme zu lösen, die man nicht hätte, wenn es keine computer geben würde.

ciao
mike

 

[ace777]

Hast schon Recht. Ich benutze z.Zt. auch weder eine SW Firewall noch einen Virenscannner. Ich hatte mir gestern eben das MacUpdate Promo Bundle gekauft, bei dem auch das Programm NetBarrier X5 dabei war. In Kombination mit diesem Thread bin ich überhaupt erst auf die Idee mit einer Firewall gekommen. Ich lasse also alles wie es ist! Danke für die klaren Worte.

P.S. Die Idee mit der "guggidruggi Kamera" ist gar nicht mal so übel. :-D

 

[QuickMik]

genau ! guggidruggi statt firewall.

intego macht natürlich die hauptkohle mit switchern. die angst vor dem internet haben.
logisch, sind sie doch vorher mit windows unterwegs gewesen.
selbiges läßt sich ohne firewall/antivirus kombination, nach 10 minuten nicht mehr bedienen.
aber leider muß man auch da sagen, das die leute zuwenig knowhow besitzen, um diese kombination auch zu nutzen. sonst könnte es ja nur mehr sichere windows systeme geben

das aktuelle macpromo ist übrigens sehr interessant.
obwohl ich für meinen teil netbarrier und parallels genau garnicht brauche

für switcher genau richtig ! so haben sie das offensichtlich auch angelegt.
da kann mit dem neuen macbook nix schiefgehen. kauf ich mir das macpromo bundle ist eine FW und ein Windows dabei. perfekt

man kann den switchern nur immer wieder sagen, das nicht nur die hardware geil ist......
nein, das geilste ist das unix BS von apple !

viele kommen gleich drauf...einige später...und die, die sich nicht umgewöhnen wollen....gar nicht.
fahren ihr bootcamp mit windowsxpvistaparallels.

ja was soll man sagen.....denen kann man nicht helfen.

mir ist aufgefallen, das sich eingeschweißte windows system adminprosuperuserreparierdich am schnellsten umgewöhnen.
was mich ja sehr verwundert hat.

 

[tjp]

@ tjp: Lohnt sich das denn für den Privatbereich?

Das hängt von den Anforderungen ab. Wenn Du Deine Rechner sicher konfiguriert hast, ist sie überflüssig, alle nicht benötigen Dienste aus und mittels Packetfilter Zugriff (entweder im Router oder am Mac selbst) auf laufende Dienste blockieren. Das reicht für Otto-Normalverbraucher aus.

Allerdings gibt es Anwendungsfälle bei denen es anders aussieht. Aber der erste Schritt zu einem sicherem Heimnetzwerk besteht darin, diese dämlichen WLANs nicht zu verwenden. Wenn es nur ums Surfen geht, sind die Dinger ok. Für mehr müßte man eigentlich ein VPN übers WLAN betreiben, und das macht kaum jemand Privat.

 

[iStefan]

Das hängt von den Anforderungen ab. Wenn Du Deine Rechner sicher konfiguriert hast, ist sie überflüssig, alle nicht benötigen Dienste aus und mittels Packetfilter Zugriff (entweder im Router oder am Mac selbst) auf laufende Dienste blockieren. Das reicht für Otto-Normalverbraucher aus.

Allerdings gibt es Anwendungsfälle bei denen es anders aussieht. Aber der erste Schritt zu einem sicherem Heimnetzwerk besteht darin, diese dämlichen WLANs nicht zu verwenden. Wenn es nur ums Surfen geht, sind die Dinger ok. Für mehr müßte man eigentlich ein VPN übers WLAN betreiben, und das macht kaum jemand Privat.

Ich möchte nochmal etwas Sachlichkeit in die Diskussion bringen. Also: Im privaten Bereich hinter einem NAT-Router ist eine Firewall, außer man interessiert sich dafür aus Hobby, nicht notwendig.
Schauen wir uns doch einmal an welche Ports überhaupt geöffnet sind. Dazu verwendet man am lokalen Rechner:
/Applications/Utilities/Network\ Utility.app/Contents/Resources/stroke localhost 0 50000
Das Resultat auf meinem MacBook lautet:
Port Scanning host: 127.0.0.1

Open TCP Port: 80 http
Open TCP Port: 88 kerberos
Open TCP Port: 139 netbios-ssn
Open TCP Port: 443 https
Open TCP Port: 445 microsoft-ds
Open TCP Port: 515 printer
Open TCP Port: 548 afpovertcp
Open TCP Port: 631 ipp
Open TCP Port: 8080 http-alt
Open TCP Port: 10010
Open TCP Port: 10011

Dieses ist auch OK für den Rechner, weil ich wegen Datei- und Druckersharing die typischen MS-Ports im internen Netz offen habe.
Der Router selber zeigt intern:
Port Scanning host: 192.168.178.1

Open TCP Port: 80 http
Open TCP Port: 443 https
Open TCP Port: 3320 officelink2000
Open TCP Port: 5060 sip
Open TCP Port: 5555 personal-agent
Open TCP Port: 8080 http-alt
Open TCP Port: 49000

Nach extern werden keine Ports sichtbar (z.B. mittels Heise Security Check oder anderen).
Aus diesem Grund seze ich keine FW ein.
Stefan