M4-Commando schrieb:
Ich bin etwas verunsichert, meint ihr die mac osx firewall reicht aus um sich sicher bzw sehr sicher vor überwachungen bzw angriffen aus dem netz zu schützen, oder sollte man sich noch eine andere firewall zulegen?
Grüße
Für Privatkunden gibt es normalerweise 2 Arten sich mit dem ISP (also mit dem Internet) zu verbinden
- direkt: dh. der ADSL-, ISDN-, etc -Anschluss endet direkt am Rechner. Dabei bekommt der Rechner eine öffentlich erreichbare IP zugewiesen und ist somit auch direkt aus dem Internet erreichbar. Da der Rechner selbst am Internet hängt, bekommt dieser auch alle Pakete, die an seine IP-Adresse gesendet werden. Dies bedeutet, dass evtl. auch unwissentlich geöffnete Ports aus dem Internet direkt erreichbar sind. Eine Paketfilter, welcher als Software auf dem Betriebsystem aufsetzt, kann hier bestimmte Regeln definieren, welche bestimmen welche Pakete zugelassen sind und welche nicht.
- indirekt über einen Router
Bei Privatkunden werden meistens Router eingesetzt, welche als NAT-Gateway konfiguriert sind. Das bedeutet, dass nur der Router selbst eine öffentliche IP erhält, der/oder die Rechner dahinter benutzen sogenannte "private IP-Adressen", definiert im RFC 1918. Diese privaten IP-Adressen sind im Internet nicht gültig, dh. können nicht direkt erreicht werden.
Damit die PCs, die hinter einem solchen "NAT-Router" hängen, aber Daten ins/vom Internet schicken/empfangen können, "übersetzt" der Router diese privaten, internen Adressen auf die öffentliche. Dh. bestimmte, oder alle internen IP-Adressen werden auf die eine, öffentliche IP-Adresse übersetzt. Ohne mich jetzt in technische Details zu vertiefen, bedeutet dies für den Benutzer im privaten Netz hinter dem Router einen gewissen Schutz vor Verbindungen aus dem Internet.
Dieser wird dadurch erreicht, dass (normalerweise) NAT-Router nur eingehende Verbindungen zulassen, wenn diese Antworten auf eine bereits vorher initierte ausgehende Verbindung darstellen. Dh. wenn ein interner Rechner z.B.
www.google.at ansurft, wird im NAT-Router eine dynamische Regel erstellt, die die Antwortpakete von Google zum dementsprechenden internen Rechner zulässt - und zwar ausschliesslich diese Antwortpakete, keine neuen Verbindungen. (diese Art von Packetfiltering nennt man "stateful")
Durch diesen Umstand ist es bei einem NAT-Router (falls dieser nicht explizit konfiguriert wurde, eingehende Verbindungen zuzulassen) nicht möglich dass neue Verbindungen vom Internet interne Rechner direkt erreichen.
Dadurch sind Rechner, die hinter einem korrekt konfiguriertem NAT-Router hängen gegen eingehende Verbindungen aus dem Internet geschützt.
kurz zusammengefasst:
- bei direkter Verbindung des Rechners mit dem Internet ist der Rechner selbst dafür verantwortlich, welche Pakete angenommen werden und welche nicht. Dh. dass ein Software-Packetfilter evtl. angebracht ist, um sich vor Angriffen zu schützen
- bei indirekter Verbindung der Rechner über einen Router, welcher NAT verwendet, sind die Rechner, welche hinter dem Router hängen erst mal für Verbindungen von aussen nicht erreichbar.
Anmerkung:
- diese Beschreibung geht nur auf das normalerweise von Privatpersonen verwendete Setup ein, und ist technisch vielleicht etwas zu unpräzise formuliert, mir ging es nur darum, etwas Licht in die Thematik zu bringen
- ein NAT-Router bedeutet nicht automatisch Sicherheit. Wie jedes Softwaresystem (und nichts anderes ist ein "Hardware"-Router) ist dieser nur so sicher wie er konfiguriert wurde. Es gibt durchaus Szenarios wo Rechner mit privaten IP-Adressen von aussen erreicht werden können (bei Bedarf gebe ich gern eine kurze Erklärung dazu)
- genau wie eben erwähnt, bedeutet auch ein Software-Paketfilter nicht Sicherheit auf Knopfdruck, da auch dieser korrekt konfiguriert gehört
- es darf nicht vergessen werden, dass Trojaner, Viren und andere Schadprogramme durch die beschriebenen Techniken
nicht verhindert werden
