Firewall OS X - Was kann sie wirklich?

Diskutiere mit über: Firewall OS X - Was kann sie wirklich? im Sicherheit Forum

  1. echt0711

    echt0711 Thread Starter MacUser Mitglied

    Beiträge:
    858
    Zustimmungen:
    12
    Registriert seit:
    11.10.2003
    Hallo alle,

    Jetzt mal was zur integrierten Firewall von OS X (Panther):

    1. Frage:

    Stutzig geworden bin ich nämlich, nachdem ich mich mit der Systemeinstellung "Firewall" etwas eingehender beschäftigt habe: Dort gibt es die Möglichkeit, unter "neu" der Firewall beizubringen, daß sie weitere Ports öffenen soll ("Neuer Dienst"). Unter anderem findet sich dort, bereits nett von Apple vorbereitet, eine Einstellung um den ICQ-Port 4000 freizugeben. Tolle Sache.

    Aber: Wieso läuft aber mein ICQ, ohne daß die Firewall meckert oder ein Port freigegeben werden muss? Wieso kann ich den MSN Messenger verwenden, den Real Player, usw. - alles Software, die auf allen mir bekannten Plattformen jeweils einen dedizierten Port verwendet…

    Ich trau der Sache nicht, denn normalerweise erwarte ich von meiner Firewall, daß Sie eine Meldung auf den Schirm bringt "Das Programm XY möchte eine Outbound (respektive inbound) connection auf Port YZ herstellen - möchten Sie dies erlauben?"…

    Weiss jemand, wie das bei OS X technisch tatsächlich gelöst ist? Ich fühle mich nämlich mit dieser Lösung nicht wirklich sicher und bin kurz davor, mal einen Kumpel anzurufen, daß er mal einen Portscan bei mir durchführt wenn ich online bin ;-) Nur um mal zu wissen, was da wirklich los ist!


    2. Frage:

    Toll wäre natürlich auch, wenn ich Firewall-Regeln aufstellen könnte, die programmbezogen arbeiten - z.b. Safari darf auf Port 80 ins Web, der IE (den ich nur intern zum Websites testen brauche) soll aber nicht dürfen. Der ICQ Port soll nur dann aufgehen, wenn ich das Programm starte, usw… Aber das geht alles nicht mit Standard OS X Firewall -oder?
     
  2. Woulion

    Woulion MacUser Mitglied

    Beiträge:
    1.310
    Zustimmungen:
    0
    Registriert seit:
    06.06.2002
    Hi

    Die eingebaute IPFW funktioniert natürlich nur, wenn man sie aktiviert, und wenn die Regel nicht lautet "alles <-> alles".

    Wenn Du etwas mehr Komfort haben möchtest so empfielt sich "sunshield" oder "Brickhouse" als GUI zu ipfw oder Netbarrier, die kostet aber extra.

    Auf Application-Level ist "LittleSnitch" ungeschlagen, damit kannst du jedem Programm genau sagen was es darf und was nicht, und zwar pro Port und Host.

    In Kombination mit netbarrier unschlagbar, aber leider auch ein wenig nervig wenn man das richtig betreiben will, da dann die Grundregel lautet das erst mal alles verboten ist und situationsabhängig erlaubt wird. Die aufpoppenden Dialogboxen können schon nerven, aber dann weisst du genau, was auf deinem Rechner vor sich geht.

    HTH

    W
     
  3. maga

    maga MacUser Mitglied

    Beiträge:
    308
    Zustimmungen:
    1
    Registriert seit:
    23.02.2003
    Hallo,

    lasse doch einfach nach Aktivierung des Firewalls Deinen Mac mal scannen:

    http://scan.sygate.com

    Kannst ja nebenbei mal ICQ, Realplayer, und was Dir sonst noch Kopfzerbrechen bereitet, laufen lassen.

    Sygate ist übrigens ein Firewall-"Hersteller", wird Dir also eher mehr offene Ports "vorgaukeln", als geschlossene (bzw. "stealthed" = verborgene).

    Viele Grüße

    Matthias
     
  4. Alexco

    Alexco MacUser Mitglied

    Beiträge:
    314
    Zustimmungen:
    0
    Registriert seit:
    23.04.2002
    Auf www.grc.com gibts den "ShieldsUp!" Service. Dieser führt schonungslos Scans durch .-))

    Was Du meinst ist eine Application-FireWall und ist unter Windows sehr verbreitet (da gibts nichts besseres(Scherz)). Diese nervt den Benutzer dann halt mit Requestern wie "wollen Sie MS Office auf blablabla" und dies ist m.E. total unnötig. Eine richtige FireWall hat halt bestimmte Regeln, nach denen diese die IP-Pakete abcheckt. Was nützt es Dir, den Safari auf Port 80 zu beschränken? Dann hast Du kein SSL mehr, kein FTP, ....

    ApplicationFW braucht man doch nur, wenn man der installierten Software nicht traut, bzw. diese illegal installiert ist.

    Alex
     
  5. echt0711

    echt0711 Thread Starter MacUser Mitglied

    Beiträge:
    858
    Zustimmungen:
    12
    Registriert seit:
    11.10.2003
    @alexco: darum geht's nicht. Wenn Du einmal mit ner richtigen FW im Web warst wirst Du wissen, daß ständig irgendwelche Anfragen auf irgendwelchen Ports kommen, daß Dein IE und auch andere Software - egal ob kommerziell, lizensiert oder nicht - Anfragen auf diversen Ports nach aussen schickt.

    Sorry aber dagegen habe ich was - ich will selber entscheiden, welches Programm auf welchem Port mit wem kommunizieren darf. Gegen TCPA bin ich schliesslich auch nicht ohne Grund *zwinker*
     
  6. echt0711

    echt0711 Thread Starter MacUser Mitglied

    Beiträge:
    858
    Zustimmungen:
    12
    Registriert seit:
    11.10.2003
    achja kleiner Nachtrag: Ich bin u.a. mit mySQL und PHP am start weil ich hier auf der Maschine dynamische Websites teste und ggf. auch mal Dienste freischalte, die man normalerweise nicht braucht… von daher möchte ich einfach wissen, wer wann und wie oft und am liebsten von welcher IP-Adresse aus bei mir Ports scannt oder versucht, einen Dienst anzuzapfen…
     
  7. Alexco

    Alexco MacUser Mitglied

    Beiträge:
    314
    Zustimmungen:
    0
    Registriert seit:
    23.04.2002
    &nbsp;

    Dann nimm doch die Application Firewall. Willst Du aber wirkliche Sicherheit, nimm ne richtige Firewall. Wenn Du mal im Internet nen bisschen suchst, wirst Du leicht feststellen, dass es Tricks gibt eine Application-Firewall alt aussehen zu lassen, sobald man diese erkannt hat. Mir sind diese Dinger einfach zu unsicher und zu paranoid. . . . :)

    Gruss,
    Alex
     
  8. -Nuke-

    -Nuke- MacUser Mitglied

    Beiträge:
    2.135
    Zustimmungen:
    15
    Registriert seit:
    13.09.2003
    Sei nicht so paranoid. Das kann krankhaft werden. Besonders solche FireWalls welche jeden ****** melden (und dann gleich einen Angriff melden, auch bei nem Ping), unterstützen das nur.

    edit:

    Wenn du in MySQL ein gutes Passwort setzt, dann kommt auch keiner rein.

    edit2:

    Beschäftige dich mal am besten mit ipfw. Guck dir dazu einfach ein paar FreeBSD-Toturials an. Dann kannst du nach Herzenslust alles sperren, dir nen Helm aufsetzen und auf die bösen Leute warten. *ggg* ;)
     
  9. Hairfeti

    Hairfeti Banned

    Beiträge:
    462
    Zustimmungen:
    0
    Registriert seit:
    08.11.2003
    Sehr interessante Geschichte ...

    Meine Meinung dazu ist:

    Vorsicht und Schutz sind zweierlei Dinge die man logisch betrachtet auch so walten lassen sollte.

    Gegen Vorsicht ist nichts einzuwenden, man kann diese jedoch mit einigen wenigen Maßnahmen leicht und billig haben. Durch 3 einfache Dinge:

    1. Auslagern von relativ sensiblen Daten auf Wechsel-Datenspeicher.

    2. Abspeichern wichtiger Daten auf ein Volume welches nicht das Startvolume ist (kann auch eine Partition sein)

    3. Sichern komplexer Daten in verschlüsselten Images

    Ja, was will man denn nun noch schützen wenn alle Daten ausreichend abgesichert sind und für den jenigen dem sie in die Hände fallen würden völlig unbrauchbar sind?

    Das System kann man noch schützen, das wäre wichtig. Nicht daß irgend jemand euren Mach-Kernel klauen würde, nein da ist niemand scharf drauf.
    Wenn nun noch was schlimmes passiert, dann wird es echt kritisch ...

    Dann sind nämlich "Spezialisten" am Werk die ihr Handwerk wirklich verstehen.
    Die legen kein Wert auf Datenklau, nein, die wollen nur zerstören.

    Die greifen das System mit echt üblen Techniken an in dem sie zuerst die interne Software-FireWall überwinden und in die Netzwerkkarte eines Rechners eindringen. Den dort vorhandenen Speicher-Chip nutzen sie aus um diverse Programme zu installieren und um diese zur Ausführung zu bringen. Dabei kann kompletter Datenverlußt der HardDisk und sogar Hardware-Schaden verursacht werden der nicht reparabel ist.

    Also wer auf seinem Rechner eine Standleitung ins Internet, Server mit FTP, WEB und MySQL-Technologie installiert hat der ist mit einem Router via Hardware-FireWall gut bedient. Das dürfte das mindeste sein was man vorweisen sollte.

    Alles andere abwärts ist leider nur Spielkram und für keinen ernst zu nehmenden Angriff wirklich zu gebrauchen.

    Aber wie schon gesagt, Vorsorge ist die beste Abwehrwaffe.

    Wo nichts zu holen ist ...
     
    Zuletzt bearbeitet: 22.11.2003
  10. BEASTIEPENDENT

    BEASTIEPENDENT MacUser Mitglied

    Beiträge:
    1.948
    Zustimmungen:
    5
    Registriert seit:
    26.10.2003
    &nbsp;
    im großen und ganzem stimme ich deinem beitrag ja zu, aber was für ein speicher-chip in netzwerkkarten??? und hw-zerstörung durch hacker ist im normalfall immer noch ein übles ammenmärchen, da nicht möglich!
     
Die Seite wird geladen...
Ähnliche Themen - Firewall kann sie Forum Datum
Mac OS X Firewall und 1Password 6 Sicherheit 14.04.2016
Firewall, Anti-Viren Programm Sicherheit 23.11.2015
Protokoll der Firewall bei Yosemite? Sicherheit 03.04.2015
Problem Firewall postgreSQL popup??? Sicherheit 12.01.2015
Ältere OSX Versionen noch sicher? (Stand 2014) Sicherheit 03.10.2014

Diese Seite empfehlen

Benutzerdefinierte Suche