Sicherheit OS X Allgemein

[tobman]

darf ich mich als total unwissender mal dranhängen?

habe mir bisher überhaupt keine sorgen um datensicherheit gemacht, nutze aber beruflich kundendaten (einkommen, familienverhältnisse, gesundheitszustand etc.) gelegentlich auf diesem mac.

könnt ihr mir eine kurzanleitung geben, was ich beachten sollte (mac-eigene software und evtl. externe)?

zu mir
- nutze NICHT filevault
- KEIN w-lan (kabel dsl-modem telekom)
- unter systemeinstellungen -> sharing (grade eben) alles deaktiviert

reicht es, einen ordner der sensiblen daten über das dienstprogramm zu verschlüsseln (werde ich sofort mal ausprobieren)?

muss gestehen, dass ich folgendes nciht ganz verstanden habe:

ZITAT:
Was ich tue, um meine Daten einigermaßen sicher zu halten:
-Sensible Daten generell extern und verschlüsselt halten (PGP-Laufwerk).
-Netzwerkverbindungen trennen beim Arbeiten.
-Ins Internet nur OHNE diesen Speicher am Mac.
-Firewall dicht, keine Dienste, Tarnmodus, UDP zu.

was sind dienste, tarnmodus udp etc?

danke & gruß

 

[MacIroo]

Hi,

die genauen Funktionen dieser Fachbegriffe kenn' ich auch nicht wirklich. Für Kundendaten kann ich dir nur safeThis oder EncrypThis empfehlen. Diese Programme erstellen ein virtuelles Laufwerk das verschlüsselt ist. Wie sicher das ist, weiss ich nicht. Aber verschlüsselt hört sich schon mal gut an.

Ausserdem würde ich den Papierkorb immer mit Finder->Papierkorb sicher entleeren entleeren. Dann überschreibt er die Daten vor dem löschen nochmal. Sollte auch ein bisschen Sicherheit bringen, denn gelöschte Daten sind ja bekanntlich nicht wirklich gelöscht.

FileVault kannst du nebenbei aktivieren. Ist wirklich ein geniales Systemtool. Läuft alles im Hintergrund und du bekommst fast nix mit.

Ausserdem die Firewall in der Systemsteuerung aktivieren bringt sicherlich auch noch etwas Sicherheit mit sich.

Mehr Sicherheit ist für einfache Kundendaten wahrscheinlich nicht gefordert. Ich nehme an, dass du die Kundendaten in Verbindung mit dem Internet bearbeitest. Bei sehr vertraulichen Daten lohnt es sich einen kleinen Computer ohne Internetanschluss zu besorgen. Dann hast du volle Kontrolle. Denn bei allem Respekt vor Sicherheitsvorkehrungen, richtig sicher bist du erst wenn der Stecker draussen ist.

Die obigen Fachbegriffe solltest du mal unter Wikipedia nachschlagen. Sollte ich auch mal tun...

Gruss
Iro

 

[SilentCry]

-Firewall dicht, keine Dienste, Tarnmodus, UDP zu.

was sind dienste, tarnmodus udp etc?

Nur kurz, zum Anfixen
Dienste sind primitiv ausgedrückt Programme im Hintergrund, die horchen, ob jemand mit ihnen Verbindung aufnehmen will. Dieses Webforum zum Beispiel ist ein Webserver (aka Dienst), der auf einer Maschine (die verwirrenderweise auch Server genannt wird) läuft und lauscht (an einem sogenannten Port), ob hier jemand seinen Senf abgeben will. Will man anderen Menschen nichts zur Verfügung stellen, muss man keinen Dienst an einem externen Port lauschen lassen. (Intern laufen auch Dienste, Copy/Paste zum Beispiel läuft über einen DDE-Dienst, der "horcht" aber nur intern - ist kein Netzwerkdienst).

Tarnmodus nennt man es, wenn ein Rechner auf jedwege Anfrage von Aussen schweigt.

UDP ist neben TCP ein Übertragungsprotokoll. TCP ist verbindungsorientiert. UDP nicht. Es gibt noch andere, zB. ICMP-Protokoll und SMP-Protokolle. ICMP kennt fast jeder, als PING (obwohl das nicht synonym ist, PING ist echo request und eben nur ein Befehl des ICMP-Protokolls). SMP kennt man aus Komponententsteuerung. UDP kann man zB. für Sprachkommunikation wählen. Beides sind Layer-4-Protokolle (Transport Layer), darunter liegt immer IP (Layer 3 - Network Layer).

Auch über UDP kann man Rechner angreifen. DNS wird über UDP abgewickelt, ich _glaube_ auch QOS ... bin nicht sicher. Der Tarnmodus blockt alles ab. Also TCP, UDP und ICMP kommen nicht durch und der Gegner erhält auch keine Meldung. Ansonsten würde ein Rechner auf ein ECHO REQ (Ping) ein DENY antworten, dann wüsste der Angreifer trotzdem, dass unter dieser IP ein Rechner läuft. Im Tarnmodus sagt der Rechner gar nix.

 

[mpire]

Hallo!

Sollte ich mich in einigen Punkten irren, so bitte ich um Korrektur. Haftung für eventuelle Schäden oder Datenverluste werden nicht übernommen.

Ich befasse mich jetzt etwa ein halbes Jahr schon mit dem Thema Sicherheit und werde es wohl bedingt durch meine Anstellung und dem laufenden Trend weiterhin machen. Wenn man sich etwas damit befasst, dann wirkt das Thema Sicherheit zugleich schockierend als auch interessant. Denn mit der zeit lernt man erst, was für Methoden es gibt und was man so alles garnicht bedacht hat und nie hätte. Am Ende kommt man dann zu der Schlußfolgerung, dass es kein sicheres System gibt, sondern nur Möglichkeiten, es dem Angreifer so schwer wie möglich zu machen, dass dieser schnell wieder die Lust verliert.

Es gibt eine Menge Guidelines zur Absicherung von Systemen und so unwahrscheinlich es auch klingen mag, so ist allein mit Bordmitteln ein frisches gepatchtes Windows-System (2000/XP) am schnellsten abgesichert. Jedoch nicht sicher! Klicki-Bunti macht es möglich.

Die meisten Guidelines sehen hingegen nicht vor, dass ICMP unterdrückt wird, da es an einigen Stellen für Verfügbarkeitsprüfungen genutzt wird. Jedoch kann dieses Protokoll auf bestimmte Dienste beschränkt werden, so dass nur minimale Informationen vom System preisgegeben werden. Router für den Heimgebrauch sind hierfür jedoch meist nicht ausgelegt.

SNMP, welches sehr gern zur Fernwartung/-prüfung genutzt wird, ist hingegen zu deaktivieren bzw. so zu konfigurieren, dass die Gruppe public nicht einmal lesen kann.

In vielen Bereichen ist UDP nur zweitrangig, da man bei vielen Diensten nicht auf ein verbindungsloses Protokoll setzen kann. Und wenn, wird der Dienst zuvor durch TCP initiiert. Dienste, welche sich nicht selbst schützen können (IP-Adresse, MAC), müssen durch eine Firewall geschützt werden.

Eine Firewall ist zudem schon im privaten Bereich heutzutage nicht mehr wegzudenken.

WEP ist eine schöne Sache. Schnell konfiguriert und funktioniert auf Anhieb. Sogar mit den schon etwas betagteren Versionen von Mac OS (9-10.2). Warum dem Gesetz WEP ausreicht, liegt an dem Aufwand, der benötigt wird um dieses zu knacken. Lasse ich meine Haustür offen, muss ich selbst dafür haften, wenn mir etwas entwendet wird. Baue ich hingegen ein gewöhnliches Schloß ein, welches nur mit einem gewissen Aufwand geknackt werden kann, bin ich außen vor. Dass WPA/WPA2 sicherer ist, braucht man wirklich nicht zu sagen. Ein sicherer Router sollte in der Standardkonfiguration bereits WPA/WPA2 aktiviert haben.

Festplattenverschlüsselung ist gut, Datei-/Ordnerverschlüsselung reicht hingegen meistens für privat schon aus. Bei beidem ist jedoch zu beachten, welche Art der Verschlüsselung und welche Schlüsselstärke genutzt wird.

Fortsetzung folgt...

 

[mpire]

Es gibt zwei Arten der Verschlüsselung, symmetrische und asymmetrische. Bei der symmetrischen Verschlüsselung wird nur ein Schlüssel für die Ver- und Entschlüsselung benötigt. Dies vereinfacht einiges, macht es aber auch unsicherer. Die asymmetrische Verschlüsselung nutzt getrennte Schlüssel für Ver- und Entschlüsselung. Der Vorteil ist hierbei, dass beide Schlüssel getrennt aufbewahrt werden können und es so Systeme geben kann, die zwar ver- aber nicht entschlüsseln können. Der Einfachheit halber kann man im privaten Bereich auf symmetrische Verschlüsselung vertrauen. Der Schlüssel sollte jedoch auch dort, wenn möglich, nicht auf dem selben System gespeichert sein, sondern als Backup auf CD im Schrank verstaut und auf einem Memory-Stick nebst dem System. Schlüssel sollten zudem mit einer Pass-Phrase geschützt werden.

Dass nicht der eigene Name als Passwort genutzt werden sollte, ist, denke ich, klar. Passwörter sollten, wenn möglich, wie folgt aussehen:

- mindestens 7 Zeichen
- keine Namen oder feststehende Begriffe
- mindestens 1 Großbuchstabe
- mindestens 1 Zahl
- keine Abfolge von Buchstaben (qwer, abc usw.)
- keine Abfolge von Zahlen (123, 987 usw.)
- wenn möglich Sonderzeichen oder Umlaute (.,:;-_?!*#+=ßäöü)

Je schwerer, desto besser. Es sollte jedoch im Rahmen des Merkbaren bleiben. Man findet dazu auch eine Menge im Internet.

Sollten Fragen seien, dann bitte stellen!

Grüße

Marco

 

[mpire]

Kurzer Nachtrag (was ich so auf Anhieb fand):

http://www.informit.com/articles/article.asp?p=343277&seqNum=4&rl=1

Grüße

Marco

 

[macmacken]

Ich bin über WLan mit meinem Router (NetGear) verbunden. Diesen habe ich mit WEP (128)-Verschlüsselung konfiguriert und ausserdem meine MAC-Adresse als einzig zulässige Verbindung definiert. (Ja, es hat es mal Jemand aus der Nachbarschaft geschafft sich in mein WEP-Verschlüsseltes Netzwerk einzuloggen und wir sahen die persönlichen Daten des anderen). Ich benutze VileVault, habe meinen Account und den des Administrators klar getrennt, sehr sensible Daten verschlüssle ich zur Sicherheit mit EncryptThis.

Vernünftig, abgesehen von der Verwendung von WEP – WEP lässt sich innert Minuten «entschlüsseln», Du solltest unbedingt WPA(2) verwenden.


In Sachen Mac-Sicherheit am meisten Sorgen bereiten mir die fehlende Festplattenverschlüsselung und die Zeit, die Apple jeweils benötigt, um bekannte Sicherheitslücken zu beheben.

Martin

 

[magheinz]

Tarnmodus nennt man es, wenn ein Rechner auf jedwege Anfrage von Aussen schweigt.

tolle funktion...

Auch über UDP kann man Rechner angreifen. DNS wird über UDP abgewickelt, ich _glaube_ auch QOS ... bin nicht sicher. Der Tarnmodus blockt alles ab. Also TCP, UDP und ICMP kommen nicht durch und der Gegner erhält auch keine Meldung. Ansonsten würde ein Rechner auf ein ECHO REQ (Ping) ein DENY antworten, dann wüsste der Angreifer trotzdem, dass unter dieser IP ein Rechner läuft. Im Tarnmodus sagt der Rechner gar nix.

Das mit dem Tarnmodus ist flasch:
Die Antwort das ein Rechner nicht zu erreichen ist gibt der router davor.
Wenn der router also jetzt den ping an den rechner routet, dieser den einfach verschluckt, dann gibts keinen reply vom rechner und keinen vom router. Wenn der rechner ordentlich antwortet, dann schickt der router "host unreachable". Wenn also auf ein ping gar keine Antwort kommt, dann weiss der pingende dass da am ende ein Rechner sein muss der die pings verschluckt oder nen defekten IP-Stack hat. Mit anderen Worten, der Tarnmodus bringt nix.

Was das an Sicherheit bringen soll ist es fraglich.
Die Scriptkiddies heute pingen die Rechner eh nicht vorhe ran. Das wäre viel zu Zeitaufwändig. Die gehen einfach gleich auf ein ganzes Netzwerk los.

 

[yeeti]

Hallo
Es ist doch richtig,dass das UDP Protokoll für's Audio und Videostreaming zuständig ist? also auch für die Internettelefonie. Wenn man UDP abschaltet wird doch unter Umständen ein anderes Protokoll verwendet, welches grössere Pakete verschickt. Das hat doch wohl Geschwindigkeits und Qualitätseinbußen als Folge, ist dem so? und das würde dann wohl auch zu mehr Stress für den Akku und für's System bedeuten.
Kann mir bitte jemand Antworten, ob ich soweit richtig liege
Danke im voraus
Gruss
yeeti

 

[magheinz]

Hallo
Es ist doch richtig,dass das UDP Protokoll für's Audio und Videostreaming zuständig ist? also auch für die Internettelefonie. Wenn man UDP abschaltet wird doch unter Umständen ein anderes Protokoll verwendet, welches grössere Pakete verschickt. Das hat doch wohl Geschwindigkeits und Qualitätseinbußen als Folge, ist dem so? und das würde dann wohl auch zu mehr Stress für den Akku und für's System bedeuten.
Kann mir bitte jemand Antworten, ob ich soweit richtig liege
Danke im voraus
Gruss
yeeti

UDP ist ein Protokoll auf der Transportschicht, genaus wie auch TCP.
Das Streamen von Audio oder Video ist Anwendungsschicht.
Welches Protokoll auf Transportschicht jetzt verwendet wird ist Anwendungsabhängig.
Pauschal zu sagen "UDP ist für streaming zuständig" ist falsch.
Bsp.: skype nutzt meines wissens nach TCP und/oder UDP.

Einen merklichen Unterschied bei der Akkulaufzeit zwischen einem UDP und einem TCP-basierten Protokoll kann ich mir aber beim besten willen nicht vorstellen.

Es werden für UDP halt einfach weniger Pakete benötigt und die Pakete sind etwas kleiner. Allerdings gibts im Gegenzug für den Absender keine Garantie dass sein Paket angekommen ist. Hat alles Vor- und Nachteile.

 

[yeeti]

Hallo magheinz,
ersteinmal ein Dankeschön, ich werde lieber das UDP Protokoll nicht aus der Firewall deaktivieren, weil ich sehr oft per Internet telefoniere und da könnten grössere und mehr Pakete wohl doch sehr hinderlich sein. Ist den Deiner Meinung nach das UDP Protokoll ein Sicherheitsrisiko? Bei mir ist die Firewall auf Tarnmodus eingestellt, und nur die Netzwerkzeit ist aktiviert.
Gruss
yeeti

 

[magheinz]

Hallo magheinz,
ersteinmal ein Dankeschön, ich werde lieber das UDP Protokoll nicht aus der Firewall deaktivieren, weil ich sehr oft per Internet telefoniere und da könnten grössere und mehr Pakete wohl doch sehr hinderlich sein. Ist den Deiner Meinung nach das UDP Protokoll ein Sicherheitsrisiko? Bei mir ist die Firewall auf Tarnmodus eingestellt, und nur die Netzwerkzeit ist aktiviert.
Gruss
yeeti

Den Tarnmodus kannst du ausschalten. Der bringt nix.
Solange du keine Dienste anbietest kannst du auch auf den Paketfilter verzichten, es wäre sogar besser wenn du ihn ausschaltest.
Und UDP an sich ist kein Sicherheitsrisiko. Ganz im Gegenteil, wichtige Dienste nutzen es wie z.B. DNS. Wenn Internettelefonie Skype bedeutet, dann würde ich eher das als Sicherheitsrisiko sehen...

Wer ist aktiviert?

 

[yeeti]

Hallo magheinz,
ich biete keine Dienste an, bin Computerneuling im fortgeschritenem Alter, mein MBP 2,2MHz ist mein erster Rechner überhaupt. Was meinst Du mit Paketfilter?und was meinst Du mit wer ist aktiviert? das einzigste was aktiviert ist, ist die Netzwerkzeit. Bitte entschuldige meine beschränktes Wissen. Telefonieren tue ich über die Fritzbox 7170.
Gruss
yeeti

 

[magheinz]

Hallo magheinz,
ich biete keine Dienste an, bin Computerneuling im fortgeschritenem Alter, mein MBP 2,2MHz ist mein erster Rechner überhaupt.

Ein Dienst ist quasie ein Server.

Was meinst Du mit Paketfilter?

Ein Paketfilter ist oft ein Teil einer Firewall.
http://de.wikipedia.org/wiki/Paketfilter

und was meinst Du mit wer ist aktiviert? das einzigste was aktiviert ist, ist die Netzwerkzeit.

Genau die meinte ich. "die netzwerkzeit" ist doch der NTP-Server. der sollte einfach auf 127.0.0.1 gebunden werden wenn er wirklich notwendig ist, was ich aber bezweifel. ein simpler NTP-client würde genügen. Keine Ahnung was OSX da so mitliefert.

Bitte entschuldige meine beschränktes Wissen.

Man lernt halt nie aus...

Telefonieren tue ich über die Fritzbox 7170.

Dann ist es was das telefonieren angeht eh egal was du auf dem MBP einstellst.

Gruss
yeeti

Grüß mir den Messner wenn du ihn triffst SCNR

 

[yeeti]

Hallo magheinz
Danke fuer Deine ausfuehrlichen Antworten.
Den Messner kann ich nicht leiden, der vermüllt mir meine schoene Landschaft.
Gruss
yeeti

 

[pretorianie]

Kann mir jemand eine Adresse geben, wo ich solche Sachen wie Sniffer finde.

 

[avalon]

Gerne...

www.google.de

 

[pretorianie]

Gerne...

www.google.de

Sehr lächerlich, wenn du so es gefunden hast, dann bist du der Größte.
Ich wollte so finden aber das geht nicht.

 

[eMac_man]

Sehr lächerlich, wenn du so es gefunden hast, dann bist du der Größte.
Ich wollte so finden aber das geht nicht.

Dir zeigt google nichts an, wenn Du "Sniffer" in die Suchmaske einträgst? Das ist seltsam.
Gruss
der eMac_man

 

[pretorianie]

Dir zeigt google nichts an, wenn Du "Sniffer" in die Suchmaske einträgst? Das ist seltsam.
Gruss
der eMac_man

Mir zeigt viele Treffer aber für Windows aber gar nix für Mac OS X