jteschner
Aktives Mitglied
- Dabei seit
- 30.05.2006
- Beiträge
- 4.135
- Reaktionspunkte
- 2.467
Nein
Zusätzliche Firewall sinnvoll?
- Ersteller Macci_92
- Erstellt am
tocotronaut
Aktives Mitglied
- Dabei seit
- 14.01.2006
- Beiträge
- 34.532
- Reaktionspunkte
- 13.519
Alle gängigen Router haben eine aktivierte Firewall ab Werk.
Die macOS interne ist vor allem für den Fall gedacht, das du nicht über einen Router ins Internet gehst.
Also wenn der Mac - wie früher bei den Fiepsemodems - die PPPoE Einwahl ins Internet übernimmt und dadurch direkt ansprechbar im Internet hängen würde.
Oder wenn du eine DMZ hinter deinem Router einrichten willst...
Spezialanwendungen halt.
Die macOS interne ist vor allem für den Fall gedacht, das du nicht über einen Router ins Internet gehst.
Also wenn der Mac - wie früher bei den Fiepsemodems - die PPPoE Einwahl ins Internet übernimmt und dadurch direkt ansprechbar im Internet hängen würde.
Oder wenn du eine DMZ hinter deinem Router einrichten willst...
Spezialanwendungen halt.
geWAPpnet
Aktives Mitglied
- Dabei seit
- 16.12.2007
- Beiträge
- 17.387
- Reaktionspunkte
- 7.559
Die hat er ja ohnehin bereits aktiviert, wie von ihm geschrieben. Er fragt ja ausdrücklich (siehe Titel!), ob es zusätzlich eine weitere von Dritt-Anbietern braucht.
Und bist Du Dir sicher, dass in der aktuellen macOS-Version die Firewall per Default aus ist?
iQuaser
Aktives Mitglied
- Dabei seit
- 25.07.2008
- Beiträge
- 1.082
- Reaktionspunkte
- 552
LuLu ist interessant wenn man sehen will, zu welchen Servern eine Applikation eine Verbindung aufbaut. Aber man muss diese Information auch verstehen und einordnen können, verbietet man die Verbindungen, laufen manche Programme (z.B. MS Office) nicht mehr. Erlaubt man ständig alles, kann man sich LuLu auch sparen.
LittleSnitch ist ganz nett wenn man zusätzlich sehen will, wo der aufgerufene Server (ungefähr) steht und auch, wieviele Server kontaktiert werden (z.B. beim Start von MS Office, da werden einige MS Server abgefragt). Aber auch hier muss man das Wissen haben um einordnen zu können, warum Server kontaktiert werden und ob das nötig ist.
Meine Meinung:
Zu Hause reicht die Firewall vom Router, es kann aber auch nicht schaden, die Firewall von Apple in macOS zu aktivieren.
Ist man viel unterwegs und in fremden Netzen, dann muss die macOS Firewall aktiviert sein.
Will man mehr Infos und kann diese bewerten, sind LuLu und LittleSnitch ganz hilfreich, aber nicht für den Hobbyanwender.
LittleSnitch ist ganz nett wenn man zusätzlich sehen will, wo der aufgerufene Server (ungefähr) steht und auch, wieviele Server kontaktiert werden (z.B. beim Start von MS Office, da werden einige MS Server abgefragt). Aber auch hier muss man das Wissen haben um einordnen zu können, warum Server kontaktiert werden und ob das nötig ist.
Meine Meinung:
Zu Hause reicht die Firewall vom Router, es kann aber auch nicht schaden, die Firewall von Apple in macOS zu aktivieren.
Ist man viel unterwegs und in fremden Netzen, dann muss die macOS Firewall aktiviert sein.
Will man mehr Infos und kann diese bewerten, sind LuLu und LittleSnitch ganz hilfreich, aber nicht für den Hobbyanwender.
Oldy62
Aktives Mitglied
- Dabei seit
- 24.11.2009
- Beiträge
- 4.571
- Reaktionspunkte
- 2.076
Richtig.
Ich bin gerade im Hotel und da ist die Firewall auf meinem MacBook Pflicht.
...der einzige Nutzen der Firewall-Aktivierungsoption in macOS scheint mir zu sein, dass dadurch eine Rückfrage veranlasst werden kann, ob automatisch von mitgelieferten oder selbstinstallierten (signierten) Apps ankommende Verbindungsanfragen zugelassen werden. Rausgehende Verbindungen werden m.W. von der internen FW generell nicht unterdrückt...
Tzunami
Aktives Mitglied
- Dabei seit
- 18.10.2003
- Beiträge
- 7.268
- Reaktionspunkte
- 1.611
Little Snitch ist eigentlich keine herkömmliche Firewall, da es in der Regel nur ausgehenden Verkehr überwacht. Ich finde Little Snitch persönlich recht nützlich, da man so auffälligen Verkehr recht schnell erkennen kann. Man muss natürlich auch das nötige Verständnis für die Funktionsweise von Netzwerken haben, um die Ausgabe von der Petze interpretieren zu können.
Der wichtigste Faktor für die Sicherheit ist aber immer noch der Mensch.
Der wichtigste Faktor für die Sicherheit ist aber immer noch der Mensch.
Stargate
Aktives Mitglied
- Dabei seit
- 27.02.2002
- Beiträge
- 12.753
- Reaktionspunkte
- 4.863
Da gehen Meinungen und Erfahrungen ziemlich weit auseinander.
LittleSnitch ist in erster Linie dazu da um (auch Grafisch) zu sehen wohin der eigene Mac bzw. Programm die darauf laufen hin funken.
Es ist manchmal ziemlich erstaunlich wie viele Linien (Verbindungen) manche Dingen zu den roten Flecken auf der Landkarte erzeugen.
Das kann man damit abstellen.
Es lassen sich mit dem Programm z.B gar hervorragend Mitteilungen an Statistiksammler unterdrücken die einem absolut zu nichts nützlich sind.
Ansonsten hat macOS eine eigene Firewall, dein Router hat eine und wenn noch ein Internetanbieter-Modem davor steckt, das auch noch.
Was die Sicherheit des Mac angeht, verlassen würde ich mich darauf nicht.
Wie es bei Apple mit der Sicherheit und der Reaktionszeit bestellt ist, nicht bei allen Löchern, aber bei vielen, kann man fast täglich in der einschlagen Fachpresse lesen. Ein "Sicherheitsupdate" suggeriert zwar das etwas getan wird, manchmal wir aber nicht alles behoben oder gar noch ein anderes Loch dabei geöffnet.
Apple-Dienste und Programme umgehen so oder so die eigene Firewall.
Der beste Schutz ist einfach nicht jeden Müll auf seinen Rechner zu laden und nicht jeden Mist im Internet anzuklicken.
Reine Körperbeherrschung
Moin zusammen,
habe den Thread gefunden, weil er gerade zu meiner Frage passt und so muss ich keinen Neuen aufmachen, da dies hier gut rein passt finde ich. Ich nutze seit Jahren nur die interne Firewall (hatte damals glaube ich auch mal im Forum gefragt, ob eine zusätzliche für den Verkehr nach außen sinnvoll wäre) und da das immer echt Aufwand ist bis man die soweit hat, dass sie NICHT mehr nervt, habe ich irgendwann auch gesagt "ciao Zusatzfirewall" und habe seitdem Ruhe.
Allerdings stelle ich mir schon manchmal so die Frage, dass theoretisch ja jede Software, selbst z.B. KeepassXC theoretisch unbemerkt irgendwelche Daten von einem irgendwo hin senden könnte, ohne das man (ohne Zusatzfirewall für die Überwachung des Verkehrs nach außen) etwas mitbekommt. Wie seht ihr das denn? Muss man da einfach Vertrauen haben?
Ich komme auch darauf, weil ich hier in diesem Thread Lightroom deinstallieren gerade Lightroom von meinem Rechner geschmissen habe und versuche die Reste aufzuräumen, die ggf.(ich weiß es nicht) übrig geblieben sind. Dabei geht es mir im Wesentlichen eher darum das keine Dienste mehr unnötig irgendwohin funken, weil ich das Programm ja nicht mehr nutze, als das zwei drei Dateien paar kB an Daten noch irgendwo belegen, was mir egal wäre. Wäre das für euch ein Problem oder sagt ihr da eher "ja mein Gott, wenn da noch irgendein Dienst, den der Deinstaller nicht mitgerissen hat, mal irgendwohin funkt, interessiert mich das nicht?" Ich denke mir da halt, was sind das für Funkereien, die da überhaupt passieren könnten noch nach so einer Deinstallation und ist es so wichtig das mit so viel Aufwand zu unterbinden bis aufs Letzte? Lightroom war vorher auch bestimmt 2 Jahre noch auf dem Rechner und da hatte ich es nicht mal deinstalliert sondern nur einfach nicht mehr genutzt.
Das sind mal zwei Fragen/Gedanken so von mir, wo mich eure Meinung zu interessieren würde
Danke im Voraus und ein schönes WE euch!
habe den Thread gefunden, weil er gerade zu meiner Frage passt und so muss ich keinen Neuen aufmachen, da dies hier gut rein passt finde ich. Ich nutze seit Jahren nur die interne Firewall (hatte damals glaube ich auch mal im Forum gefragt, ob eine zusätzliche für den Verkehr nach außen sinnvoll wäre) und da das immer echt Aufwand ist bis man die soweit hat, dass sie NICHT mehr nervt, habe ich irgendwann auch gesagt "ciao Zusatzfirewall" und habe seitdem Ruhe.
Allerdings stelle ich mir schon manchmal so die Frage, dass theoretisch ja jede Software, selbst z.B. KeepassXC
theoretisch unbemerkt irgendwelche Daten von einem irgendwo hin senden könnte, ohne das man (ohne Zusatzfirewall für die Überwachung des Verkehrs nach außen) etwas mitbekommt. Wie seht ihr das denn? Muss man da einfach Vertrauen haben? Ich komme auch darauf, weil ich hier in diesem Thread Lightroom deinstallieren gerade Lightroom von meinem Rechner geschmissen habe und versuche die Reste aufzuräumen, die ggf.(ich weiß es nicht) übrig geblieben sind. Dabei geht es mir im Wesentlichen eher darum das keine Dienste mehr unnötig irgendwohin funken, weil ich das Programm ja nicht mehr nutze, als das zwei drei Dateien paar kB an Daten noch irgendwo belegen, was mir egal wäre. Wäre das für euch ein Problem oder sagt ihr da eher "ja mein Gott, wenn da noch irgendein Dienst, den der Deinstaller nicht mitgerissen hat, mal irgendwohin funkt, interessiert mich das nicht?" Ich denke mir da halt, was sind das für Funkereien, die da überhaupt passieren könnten noch nach so einer Deinstallation und ist es so wichtig das mit so viel Aufwand zu unterbinden bis aufs Letzte? Lightroom war vorher auch bestimmt 2 Jahre noch auf dem Rechner und da hatte ich es nicht mal deinstalliert sondern nur einfach nicht mehr genutzt.
Das sind mal zwei Fragen/Gedanken so von mir, wo mich eure Meinung zu interessieren würde
Danke im Voraus und ein schönes WE euch!
tocotronaut
Aktives Mitglied
- Dabei seit
- 14.01.2006
- Beiträge
- 34.532
- Reaktionspunkte
- 13.519
Ich habe einen DNS basierten Blocker, der diverse Werbedienste und Schnüffeladressen Blockiert.
Ansonsten habe ich durchaus Vertrauen in die meiste Software die ich nutze.
Ansonsten habe ich durchaus Vertrauen in die meiste Software die ich nutze.
YoungApple
Aktives Mitglied
- Dabei seit
- 01.04.2006
- Beiträge
- 3.107
- Reaktionspunkte
- 782
- Der Router hat ja bereits eine Firewall eingebaut.
- Die Apple-Firewall checkt nur eingehende Verbindungen, so wie die im Router. Die Apple-Firewall wird deswegen eigentlich obsolet.
- Little Snitch und LuLu monitoren ausgehende Verbindungen, als können das ungewollte "Nach-Hause-Telefonieren" unterbinden.
- Um ungewollte eingehende Verbindungen zu unterbinden, kann man, wie @tocotronaut bereits erwähnte, einen DNS-Blocker verwenden. Schau dir mal diesen Beitrag über NextDNS an.
Danke für die Antworten, aber mir ging es nicht ums wie oder welche Software dafür nötig wäre, das ist mir klar bzw. die genannten Dinge sind ja bekannte Begrifflichkeiten.
Meine zwei Fragen waren "wie ihr das seht hinsichtlich so Standardsoftware wie KeepassXC" oder auch etwaigen Hintergrunddiensten von übrig gebliebenden Installationen oder einfach Software, die man nutzt bzw. Drittsoftware, die man installiert hat - ohne Firewall. Vergleichbar mit einem sauber neu installiertem System, wo KeePassXC und z.B. eine Software wie Lightroom drauf läuft. Die Wenigsten werden da ja eine Firewall installieren und irgendwas versuchen zu kontrollieren. Aber wissen tut man ja nie was die installierte Software so ins Netz transferiert. Das war eher mein Punkt. Je länger ich darüber nachdenke, desto unheimlicher ist das wie ich finde
Meine zwei Fragen waren "wie ihr das seht hinsichtlich so Standardsoftware wie KeepassXC" oder auch etwaigen Hintergrunddiensten von übrig gebliebenden Installationen oder einfach Software, die man nutzt bzw. Drittsoftware, die man installiert hat - ohne Firewall. Vergleichbar mit einem sauber neu installiertem System, wo KeePassXC und z.B. eine Software wie Lightroom drauf läuft. Die Wenigsten werden da ja eine Firewall installieren und irgendwas versuchen zu kontrollieren. Aber wissen tut man ja nie was die installierte Software so ins Netz transferiert. Das war eher mein Punkt. Je länger ich darüber nachdenke, desto unheimlicher ist das wie ich finde
BSDheld
Aktives Mitglied
- Dabei seit
- 27.01.2009
- Beiträge
- 819
- Reaktionspunkte
- 183
Bevor(!) man eine Firewall einsetzt, muss man sich Gedanken machen, was man mit ihr erreichen will. In einem alten O'Reilly Buch zu Firewalls hieß es sinngemäß: Eine Firewall setzt eine Policy durch.
Diese Policy muss jeder für sich erarbeiten und definieren. Dann konfiguriert man eine Firewall entsprechend um diese Policy durchzudrücken.
Ein schnöder DSL-Router hält den einprasselnden Unrat ab, lässt aber auch allen ausgehenden Verkehr durch. Jetzt muss der TO entscheiden, ob er möchte, dass eine App, die z.B. ein Facebook Framework einsetzt, mit FB kommunizieren darf. Ist im ihm das egal, muss er nichts machen. Will er dass nicht, kommt er um eine Firewall nicht herum. Er muss sich aber im Klaren sein, dass das Arbeit bedeutet, dies zu konfigurieren und aktuell zu haltern.
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.237
- Reaktionspunkte
- 13.814
ja, das wirst du nie wissen. Wenn das aber dazu führt, dass ...
Das war eher mein Punkt. Je länger ich darüber nachdenke, desto unheimlicher ist das wie ich finde
... du das unheimlich findest, bist du auf dem Weg in eine kleine Paranoia.
Entkommen kannst du dem nur mit Vertrauen. Egal wie sehr du dich informierst, egal wietief technisch du bewandert bist, du wirst immer an einen Punkt gelangen, wo du der Software, die du einsetzt vertrauen musst.
Das mussten vor kurzem auch alle Anhänger von open-source feststellen. Auch da muss man vertrauen, dass es schon irgendjemand auffällt, dass über mehrere Jahre lang ein Angriff auf eine grundlegende Sicherheitsarchitektur des Internet geplant wurde.
Also, mach dich nicht verrückt.
Wenn du Software deinstallierst, gehe nach Anweisungen des Herstellers vor. Nicht nach irgendwelchen Supe-Duper-Tipps aus dem Internet. Dann bist du auch die Hintergrunddienste los. UND vermute nicht hinter jedem Stück Software, dass dich der Hersteller "auspionieren" will. Ein Generalverdacht, das alle Firmen kriminell sind und nur kriminelle Dinge mit ihrer Software machen ist eine seltsame Weltanschauung.
Zu letzt ein klein wenig Wissen (und Korrektur von einigen Aussagen hier)
Das ist leider überhaupt nicht richtig.
Kein Ad-Blocker kann _eingehende_ Verbindungen unterdrücken. So funktioniert die Sache mit den "Verbindungen" halt einfach nicht.
Wenn du mit einem Webbrowser eine Seite aufrufst, erfolgt der Verbindungsaufbau _immer_ von innen nach außen. Immer. Daher wird _jede_ Antwort durch jede Firewall _immer_ durchgelassen, weil du es ja so wollest. Du wolltest eine Antwort = Inhalt der Webseite.
Das einzige was ein DNS-basierter Ad-Blocker macht ist, dass er _nachdem_ das grundlegende Gerüst der Webseite geladen wurde, Anfragen an bekannte Werbe-Server (die der Code der Webseite enthält) geblockt werden, so dass diese Anfragen nicht _von innen nach außen_ gelangen.