reicht die mac osX firewall aus?

M4-Commando

Aktives Mitglied
Thread Starter
Dabei seit
13.06.2005
Beiträge
425
Reaktionspunkte
1
Ich bin etwas verunsichert, meint ihr die mac osx firewall reicht aus um sich sicher bzw sehr sicher vor überwachungen bzw angriffen aus dem netz zu schützen, oder sollte man sich noch eine andere firewall zulegen?


Grüße
 
einen nat-router. sprich hardware-firewall im router.

personal firewalls sind totaler quatsch.
 
wer benutzt denn hier alles eine personal firewall, weil beides also router und personal soll ja auch nicht so gut sein da sie sich irgenwie gegenseitig blockieren oder habe ich da mal was falsches aufgeschnappt?


Grüße
 
Hi,

ich nutze die Mac OS X-Firewall und einen Router. Der Router arbeitet mit NAT und Paket-Filtering soweit ich weiß.

Da macht eher die Personal Firewall (Norton) unter Windows Probleme. :D

Viele Grüße
 
Red Delicious schrieb:
einen nat-router. sprich hardware-firewall im router. personal firewalls sind totaler quatsch.
Man sollte vielleicht dazu sagen, dass die in Mac OS X integrierte Firewall keine Personal Firewall ist.

Grundsätzlich ist es in diesem Bereich ohnehin schwer ohne genaue Kenntnis des jeweiligen Netzwerks, der Anforderungen und des Benutzerverhaltens Aussagen zu treffen.
Pauschalaussagen sind i.d.R. wenig hilfreich und oft sogar schlichweg falsch.

Es ist außerdem nicht richtig, dass sich eine Kombination aus (ich sag jetzt mal) lokaler Firewall auf dem Rechner und Firewall im Router gegenseitig stören muss. Auch hier kommt es wieder auf die Netzwerktopologie und vor allem natürlich auf die richtige Konfiguration an.

Die Firewall auf dem Router schützt primär vor Angriffen von außen, in einem (größeren) Firmennetz kann es aber durchaus auch notwendig sein, zumindest bestimmte Rechne vor Angriffen aus dem lokalen Netz abzusichern.
 
Also ich hab zuhause nen kleinen Debian Router der mittels IP-Tables routet, und Packete reinlässt bzw. außen vor lässt. Auf meinem Powerbook hab ich mir mal Little Snitch installiert und bin damit auch mehr als zufrieden.
 
M4-Commando schrieb:
Ich bin etwas verunsichert, meint ihr die mac osx firewall reicht aus um sich sicher bzw sehr sicher vor überwachungen bzw angriffen aus dem netz zu schützen, oder sollte man sich noch eine andere firewall zulegen? Grüße
nicht mal die eingebaute Firewall (eigentlich ein Paketfilter) ist notwendig, wenn Du keine Dienste laufen lässt. Und wenn, dann sichere lieber die Dienste ab als eine Firewall zu nutzen. Es gibt nur wenige Gründe, die für eine Software-Firewall auf dem Zielrechner sprechen.
 
M4-Commando schrieb:
Ich bin etwas verunsichert, meint ihr die mac osx firewall reicht aus um sich sicher bzw sehr sicher vor überwachungen bzw angriffen aus dem netz zu schützen, oder sollte man sich noch eine andere firewall zulegen?
Wenn du den Rechner privat benutzt (nicht im Firmennetz o.ä., und das nehme ich jetzt mal an), dann reicht die Firewall von OS X aus.
Eine zusätzliche Software-Firewall bringt nicht viel.

Wenn du einen Router hast, dann würde ich auch dessen Firewall sicherheitshalber aktivieren. (Und solange kein fremder Zugriff auf dein Netzwerk hat, könntest du dann auch wieder die von OS X deaktivieren - bringt einfach fast nichts)
 
Wenn ich das hier so lese, dann schließe ich mich der Aussage vom maceis an. Schau Dir seine Internetseite an, dort wirst Du einiges zu dem Thema finden.

Alles andere, wie "Personal-Firewall ist Bockmist", oder "die interne Firewall brauchst Du nicht" halte ich für fahrlässig. Allein die Absicherung der Dienste reicht in der Regel nicht aus, da ein laufender Dienst auch immer eine Möglichkeit zu einer DoS-Attacke bietet und irgendwann streckt jedr Rechner alle viere von sich.

Und alle Dienste kannst Du nicht ausschalten oder blocken, da würde Dein Netzwerk (und einiges mehr) nicht mehr funktionieren. Anders gesagt, mach Dich ein wenig mit der internen Firewall vertraut, es ist nur ein Schreckgespenst, dass sich leichter einfangen läßt wie Du glaubst.
 
Noch was, dass was hier allgemein als "Hardware-Firewall" beschrieben wird, ist nichts anderes wie ein an die Hardware angepasstet (Linux/Unix-)System mit Software.

Hardware-Firewall wird sich der normalsterbliche User nicht kaufen. Außerdem basiert sie auf einer völlig anderen OSI-Ebene ;)
 
walfrieda schrieb:
nicht mal die eingebaute Firewall (eigentlich ein Paketfilter) ...
Siehst Du einen Widerspruch zwischen den Begriffen "Firewall" und "Paketfilter"?
walfrieda schrieb:
... Und wenn, dann sichere lieber die Dienste ab als eine Firewall zu nutzen. ...
Was genau meinst Du mit "sichere ... die Dienste ab"?
 
maceis schrieb:
Siehst Du einen Widerspruch zwischen den Begriffen "Firewall" und "Paketfilter"? Was genau meinst Du mit "sichere ... die Dienste ab"?

Einen Paketfilter ist heutzutage ja auch nicht mehr als ein Paketfilter. Eine "echte" Firewall filtert auch auf dem Application Layer (z.B. HTTP Datenstrom usw) und das kann man dann auch Firewall nennen. Alles was Otto-Normal so zu Hause nutzt wuerde ich eher Paketfilter nennen, denn meist koennen die Dinger nicht viel mehr ;)
 
bin mir nicht ganz sicher. könnte mir vorstellen, dass die meisten schon streambasierend sind. aber mit dem ipfw das netz so abzudichten, dass alles was von drinnen nach aussen geht erlaubt und alles was von aussen nach innen kommt verboten ist, ist schon eine fleissaufgabe, der ich mich, aufgrund meiner umts easybox, demnächst wieder stellen muss *grusel*

alte linuxzeiten ... und ausgerechnet hier holen sie mich wieder ein :eek:)
 
iptables -A (oder -I 1 um als erstes geladen zu werden) INPUT -s !192.168.0.0/24 -p tcp --syn -j REJECT (oder DROP, um komplett zu verwerfen, wobei dem Angreifer dann klar ist, dass eine Firewall dazwischen steht) ?

Einfach mal aus dem Kopf raus. Alle neuen Verbindungen, die nicht aus dem lokalen Netzwerk kommen werden verworfen.
 
Nein! - zumindest nicht, dass ich wüsste
 
Ah, wir sind ja bei ipfw :) Mist! Naja, ipfw kann auch Connection-Tracking und stateless Firewalling. Aber da bräuchte ich jetzt schon mal die Man-Page.
 
Nun ja, eine Firewall ist nur ein Konzept - keine Hardware und auch keine Software.
 
maceis schrieb:
Siehst Du einen Widerspruch zwischen den Begriffen "Firewall" und "Paketfilter"?
Ein Paketfilter ist ein Programm. Es sortiert ein- und ausgehende Pakete und lässt sie durch, blockiert sie, oder lenkt sie um. Eine Firewall ist ein Konzept. Es sichert den Zugang zu einem Rechner ab, ist aber von diesem physisch getrennt. Ob das dann eine Hardware-firewall ist, oder ein Router mit einem embedded Linux und einem darauf laufenden Programm, ist völlig unerheblich. Das was als "personal firewall" bezeichnet wird, sind Programme und damit Paketfilter, so wie die in OsX eingebaute "Firewall". Sie laufen auf dem zu schützenden Rechner und sind deshalb inherent unsicher bis nutzlos.
maceis schrieb:
Was genau meinst Du mit "sichere ... die Dienste ab"?
na, wenn Du zB. einen FTP-Server laufen hast, dann kannst du DIESEM sagen mit wem er Daten austauschen darf und mit wem nicht. Dito mit einer Druckerfreigabe, Remote Access, oder dem Apachen.
Grundsätzlich braucht man am Mac praktisch keine Dienste einzuschalten, wenn man sie nicht benötigt (während sie zB. bei Windows XP standardmässig aktiviert sind und es eine Pfriemelei sondersgleichen sein kann sie zu stoppen). Sorry, aber ich glaube die wenigsten nutzen zB ihr MacBook als HTTP-Server oder SMTP-Server, warum sollte man dann Port 80 oder 25 öffnen und die entsprechenden Demons starten.
UND: Wo kein Dienst, da kein Angriff. Ich habe bei fast allen meinen Rechnern, abgesehen von meinem Server, ALLE Dienste ausser Remote Access und lokalem Filesharing aus, und die Rechner hinter einen Router gehängt. Daher brauche ich keinen lokalen Paketfilter.
 
naja, ganz so unsinnig ist die ipfw ja nun doch nicht. erstmal beruhigt es das eigene gewissen und dann kann man doch ne ganze menge blocken. und wenn es nur die icmp's sind. ich muss mal nachlesen, was da beim mac so alles möglich ist aber wenn man es schafft eine logische netzwerkinstanz aufzusetzen über die geroutet wird, dann ist das schon mal besser als gar nichts.

zuhause hab ich ne fw, allerdings wenn ich unterwegs mit umts ins netz gehe, steht der rechner mit runtergelassenen hosen, kiste voraus an der front. da ist mir dann selbst ein lokales ipfw lieber!

und man bekommt das ja auch wenigstens einigermassen hin. doof sind nur die getrennten eingangs- und ausgangsregeln, die man bauen muss. und dazu kommen noch die ausnahmen. ach, das war schon damals ätzend. dachte, das thema wär ich vor 5-6 jahren bei linux durch aber neeeeee, nun hab ich ja hier echt was modernes .... :)
 
Zurück
Oben Unten