HAL schrieb:
Das ist, bei allem Respekt, pauschaler Bullshit. Natürlich ist eine Firewall
sinnvoll und absolut keine "Windows-Unsitte". Wir erinnern uns: Eine
Firewall verhindert unerwünschte Anfragen auf einen Computer, bzw.
ein Netzwerk, sowie unerwünschte Verbindungen von einem Computer
bzw. einem Netzwerk zum Internet. Warum man diesen Schutz auf
einem Mac nicht aktivieren sollte, will sich mir nicht ganz erschliessen...
Genau das ist der Quatsch... Was ist eine "unerwünschte Anfrage"? Was soll sowas sein?
Entweder lauscht etwas an dem Port. Dann soll es antworten, dafür hat man es gestartet.
Soll es gar nicht antworten? Dann lass es nicht dort lauschen.
Es gibt überhaupt keinen praktischen Unterschied zwischen einem per Firewall zugenagelten Port 80 und einem Rechner, an dem gar kein Webserver gestartet wurde. Da ist nix.
Was würdest du denn in der Firewall für Ports öffnen? Doch nur die, die vom Netz aus erreichbar sein sollen. Also sind die sowieso offen. Und die Dienste, die geschützt werden sollen? Beende die doch. Ist noch viel sicherer.
Eine solche Firewall ist wie mit offener Hose rumlaufen und sich dann ein Brett davor nageln. Quatsch. Mach die Hose zu und gut ist, das Brett bringt dir gar nichts, ausser seine eigenen Bugs mitzubringen.
Ja, es gibt Ausnahmen. Wenn man etwas tiefer gräbt und mit Diensten rumspielt, die sich nicht an ein Interface binden lassen. Wenn man ganz gezielt hosts zulassen oder verbieten will und der Daemon das nicht zulässt. Wenn man einen Server in Ruhe hochziehen will und dabei Fehler macht. Wenn man weiss, das eine "Firewall", wie sie hier beschrieben wird, keine Firewall ist, sondern ein Paketfilter und man dessen Features nutzen will (Redirect, Masquerading, NAT). Wenn man ein Betriebssystem nutzt, dessen Netzwerklayer kein Spoofing erkennt.
Nichts davon trifft auf das Schwierigkeitsneiveau zu, auf dem hier diskutiert wird. Nichts davon ist vernünftig im grafischen Interface über "an/aus"-Häkchen zu konfigurieren sondern erfordert viele Kilobyte Textfiles.
Das Problem mit Windows ist, dass dort allerlei Krams lauscht, den man *vielleicht* brauchen *könnte*. Und das viele Dienste defaultmässig an allen Interfaces lauschen. Das bedeutet:
1. User sind von Sicherheitslecks in Diensten betroffen, von denen sie nicht mal wissen, dass sie installiert sind, nach denen sie nie gefragt wurden und die sie gar nicht brauchen.
2. Die grosszügige Bindung an alle Interfaces führt dazu, dass für "drinnen" gedachte Dienste plötzlich von "draussen" erreichbar sind. Und plötzlich kommt ein Blatt aus dem Drucker, der doch eigentlich nur des Zweitrechners wegen Freigegeben war...
Diese Art von Fehlkonfiguration ist unter Mac/Linux/Unix nunmal nicht nachgebaut worden. Es ist nicht so, dass es nicht auch für Windows ein "netstat" gäbe. Es kümmert nur keinen. Man könnte so einen Quatsch ohne weiteres auch unter Mac OS X machen - glücklicherweise ist das nicht der Fall. Auf einem nackten Mac läuft nix, was nicht laufen sollte, es sei denn, du hast es selbst gestartet.
Eine "Personal Firewall" ist ein Gelddrucker für einen Laden, der bescheisst.
Gruß,
Ratti