Fragen zu integrierte Firewall von Mac OSX

D

DALKODA

Hallo zusammen,

ich weiss, dass Mac OSX (10.4.8) eine Firewall hat.
Taugt sie was, oder nicht?
Ein Experte meinte, dass im Betriebssystem integrierte Firewalls nicht viel taugen, man sollte eher sich einen externen Router mit integr. Firewall benutzen. Stimmt das? Muss man extra wieder Geld ausgeben? Oder reicht einfach die Firewall von Apple.

Darüber hinaus meinte der Experte, dass Wifi sicherheitstechnisch ein Sch... sei. Ist das so? Ich verwende Airport Express. Wie sicher ist Airport Express?
Gibt es bestimmte Konfigurationen, die die Sicherheit erhöht bei Airport Express?

Danke im Voraus für die Antwort.

Dalkoda
 
Meiner Meinung nach reicht die integrierte Firewall aus. Die meisten haben ja eh einen Router im Einsatz, der nochmals eine Firewall zur Verfügung stellt.

Zur Frage WLAN: Wenn Du mit WPA2 (AES) verschlüsselst bist Du erstmal auf der sicheren Seite. Also das hängt von der Verschlüsselung ab, pauschal kann man nicht sagen das WLANs unsicher sind.
 
Danke Dir, Cordney.
Schützt mich die Firewall vor den Aktivitäten von Spyware (vorausgesetzt es gibt schon Spyware für den Intel-Mac)?

Dalkoda
 
du kannst bei os x auch ohne firewall leben ;)
weil im gegensatz zu windows keine dienste laufen, wenn man die nicht aktiviert ;)

nein, die eingebaute firewall würde dich nicht vor spyware schützen (abgesehen davon, dass es so was bislang noch nicht wirklich für os x gibt), die ist nur für eingehende verbindungen...
für ausgehende verbindungen kannst du little snitch benutzen...
 
DALKODA schrieb:
...
ich weiss, dass Mac OSX (10.4.8) eine Firewall hat.
Taugt sie was, oder nicht?
...
In dieser Pauschalität ist die Frage nicht sinnvoll zu beantworten. Für die Zwecke, für die sie ausgelegt ist, ist sie sicher, zuverlässig und und hast sich seit langem bewährt. Abesehen davon ist sie sehr vielseitig konfigurierbar, allerdings nur mit entsprechender Fachkenntnis (was für alle Firewalls gilt) und nur im Terminal sind alle Funktionen verfügbar.

DALKODA schrieb:
...
Ein Experte meinte, dass im Betriebssystem integrierte Firewalls nicht viel taugen, man sollte eher sich einen externen Router mit integr. Firewall benutzen. Stimmt das?
...
In dieser Verallgemeinerung stimmt das so nicht. Als "Experte" müsst man da schon differenzieren. So kommt es z.B. sehr stark darauf an, wie das Netzwerk aussieht, wovor man sich schützen möchte/muss, wofür der Computer benutzt wird, wie die Anbindung ans Internet aussieht etc. Wenn man als "normaler" Benutzer ohne Router im Internet unterwegs ist, bietet sie jedenfalls IMHO schon mal einen sehr guten Schutz.

Was IMHO in der Tat nicht viel taugt, sind sog. Desktop Firewalls. Das sind Firewalls, die als Programm im Benutzerbereich laufen.

Grundsätzlich gilt:
Der Schutz, den eine gute Firewall bieten kann, hängt immer von deren Konfiguration ab und davon, auf welcher Ebene die Firewall arbeitet.
Die ipfw (die in Mac OS X integriert ist, arbeitet auf den Ebenen 2-4 des sog. ISO/OSI Schichtenmodels, vereinfacht ausgedrückt also auf der Ebene TCP/IP.

Es gibt außerdem zwei grundsätzlich unterschiedliche Herangehensweisen, die man mit folgenden Aussagen vereinfacht beschreiben kann:
a: Alles was nicht ausdrücklich erlaubt ist, ist verboten
b: Alles was nicht ausdrücklich verboten ist, ist erlaubt.

Das Thema an sich ist uferlos, da gibt es eine Vielzahl von Büchern darüber. Ich hoffe das hier Gesagte genügt als erster Einblick.
 
Hi Maceis,

Du hast Recht, dass die Fragen bezüglich Firewall differenzierter sein sollten.
Meine Intention war es zu erfahren, wie die Sicherheit vor Hackern ausschaut, wenn man als Privat-User einen DSL-Anschluss hat und das Netzwerkkabel direkt im Mac stecken hat, ob dann die Firewall von Mac OSX schützt (incl. der drei Optionen, die auch angeklickt sind).

Der sog. "Experte" hat einem schon bei seinem Vortrag einige Szenarien dargestellt, dass man ja überhaupt nicht von Hackern sicher ist.

Dalkoda
 
Der Experte muß ja auch von was leben.

No.
 
DALKODA schrieb:
Hallo zusammen,

ich weiss, dass Mac OSX (10.4.8) eine Firewall hat.
Taugt sie was, oder nicht?
Ein Experte meinte, dass im Betriebssystem integrierte Firewalls nicht viel taugen, man sollte eher sich einen externen Router mit integr. Firewall benutzen. Stimmt das? Muss man extra wieder Geld ausgeben? Oder reicht einfach die Firewall von Apple.
Dein Experte hat schon Recht. Das Wort "Firewall" beschreibt kein Programm oder ein Stückchen Hardware, sondern ein Sicherheitskonzept. Was die Leute heutzutage unter "Firewall" oder "personal Firewall" verstehen, ist eigentlich nur ein kleiner Teil dieses Sicherheitskonzepts. Was bei OsX eingebaut ist, ist ein Paketfilter. Der schaut eingehende Datenpakete an und leitet sie weiter oder blockiert sie. Das ist nett, aber im Prinzip sinnlos. Eine echte "Firewall" kann nie auf dem Gerät sein, das geschützt werden soll, sondern muß eine Stufe davor ansetzen. Zuhause kann man das mit einem Router erreichen, der entsprechend konfiguriert ist. Die Frage ist, und das ist der eigentliche Unterschied zwischen einem Programm und einem Konzept, WAS geschützt werden soll, und VOR WAS. Wenn man diese Fragen nicht beantworten kann, braucht man keine Firewall und könnte sie auch nicht richtig konfigurieren. Das kann man sich jetzt nicht richtig vorstellen, daher ein Vergleich mit dem "richtigen Leben".

Dein Computer sei ein Haus, das an einer belebten Strasse steht. Es hat viele Fenster, durch die Pakete hinein- und herausgereicht werden können. Dazu muß auf der einen Seite des Fensters einer stehen, der das Paket gibt, und auf der anderen einer, der das Paket annimmt. Fehlt einer der beiden, ist das Paket nicht zustellbar. Steht innen keiner, kann das hereinkommende Paket nicht entgegengenommen werden, steht aussen keiner, kann man das Paket nicht nach draussen loswerden.
Die Fenster heißen beim Computer "Ports", und die Leute die innen stehen, "Dienste". Es ist also entscheidend, ob Du an die Fenster Leute hinstellst, also "Dienste" anbietest. Es gibt zum Beispiel Dienste, die Webseiten ausliefern wenn man sie danach frägt (HTTP, Port 80), Daten der anfragenden Stelle zur Verfügung stellen (FTP, Port 21), im Haus stehende Drucker für andere mitbenutzbar machen (Druckerfreigaben, unterschiedliche Ports möglich), und vieles andere mehr. Im Mac Os kann man diese Dienste in den Systemeinstellungen unter "Sharing" einschalten. Grundsätzlich ist es besser, wenn dort so wenig wie möglich angehakt ist. Faustregel: wenn man nicht weiß was sich hinter einem Dienst verbirgt, braucht man ihn nicht einzuschalten. Wirklich!
Was nun passiert ist folgendes: Jemand sieht dein Haus, und versucht Daten mit Dir auszutauschen. Am entsprechenden Fenster steht aber keiner, und der Versuch ist erfolglos beendet. Du kannst natürlich eine "Firewall" davorhängen. Das ist dann so als würde vorn an der Strasse einer stehen und fragen über welches Fenster der Vorbeikommende Daten austauschen will und dann eine Schild hochhält: "Hier ist kein Haus". Ziemlich sinnlos, oder?
Fazit: keine Dienste einschalten, wenn man sie nicht wirklich braucht, dann ist alles sicher. OsX hat dies (also keine Dienste aktiv) als Voreinstellung. Man muß also nichts weiter machen, um das System sicher zu bekommen. Windows dagegen schaltet erstmal ganz viele Dienste ein, und man muß sie als Benutzer aktiv beenden/schließen, wenn man sie nicht braucht. Dies ist kein Problem, aber für "unbedarfte" Nutzer schwierig und wird deshalb nicht gemacht, was Windows bei der Mehrzahl der Benutzer unsicherer macht als OsX.
DALKODA schrieb:
Darüber hinaus meinte der Experte, dass Wifi sicherheitstechnisch ein Sch... sei. Ist das so? Ich verwende Airport Express. Wie sicher ist Airport Express?
Gibt es bestimmte Konfigurationen, die die Sicherheit erhöht bei Airport Express?

Danke im Voraus für die Antwort.

Dalkoda
WLAN ist nie so sicher wie kabelgebundenes Netz, ganz klar. Aber durch entsprechende Verschlüsselung ist es für alle praktischen Belange
sicher genug. Am besten WPA2, zur Not auch WEP (bei älteren Geräten die kein WPA2 anbieten) als Verschlüsselung einstellen, und gut is. NIEMALS ein ungesichertes WLAN betreiben!
 
Hi Walfrieda,

Deine Ausführungen bezüglich der Sicherheit via Firewall war echt spitze. Sehr plastisch dargestellt und somit verständlich.

Dienste sind alle ausgeschaltet. Gut.
Ich verwende für AirportExpress WPA WPA2.
Zudem habe ich ein Passwort von mehr als 10 Stellen.
Im Hinblick Sicherheit (Wifi) angeht habe ich bei "Netzwerk" (Airport Express) "eine einzige IP-Adresse gemeinsam nutzen" aktiviert. Ist das ok, was Sicherheit betrifft?
Oder sollte ich eher "Einen Bereich von IP-Adressen gemeinsam nutzen" aktivieren und die IP-Adressen bis zu 200 Stück an Zahl aktivieren mit einer "DHCP-Lease"-Dauer von 10 Minuten?
Ist das sinnvoll?

Übrigens gibt es doch auch von Intego Sicherheitssoftware. Taugt die etwas oder ist sie überflüssig?

Danke nochmals für all die Antworten.

Dalkoda
 
walfrieda schrieb:
...
Was bei OsX eingebaut ist, ist ein Paketfilter. Der schaut eingehende Datenpakete an und leitet sie weiter oder blockiert sie. Das ist nett, aber im Prinzip sinnlos.
...
Auch das ist so pauschal gesagt nicht richtig. Mal abgesehen davon, dass ein Portfilter ein- und ausgehende Pakete kontrolliert, ist ein guter Portfilter nicht "sinnlos", sondern wichtiger Bestandteil eine Firewallkonzepts.
walfrieda schrieb:
...
Eine echte "Firewall" kann nie auf dem Gerät sein, das geschützt werden soll, sondern muß eine Stufe davor ansetzen.
...
Wenn es die "Stufe davor" nicht gibt, kann sie nur auf dem zu schützenden Rechner ansetzen. Und gerade in solchen Situationen ist die ipfw Gold wert.

walfrieda schrieb:
...
Die Fenster heißen beim Computer "Ports",
...
... genauer gesagt sockets
walfrieda schrieb:
...
...Am entsprechenden Fenster steht aber keiner, und der Versuch ist erfolglos beendet. Du kannst natürlich eine "Firewall" davorhängen. Das ist dann so als würde vorn an der Strasse einer stehen und fragen über welches Fenster der Vorbeikommende Daten austauschen will und dann eine Schild hochhält: "Hier ist kein Haus".
...
Dein Bild ist ja an sich nicht ganz verkehrt. Allerdings finde ich die Schlüsse, die Du ziehst, zu kurz bedacht.

Zum einen ist es so, dass auch in Mac OS X nicht nur im Sharing Panel Dienste aktiviert werden.

Zum anderen ist es durchaus möglich, dass ein Dienst zwar aktiviert sein soll, aber nur aus dem lokalen Netz heraus (oder vom lokalen Rechner aus) erreichbar sein soll. Gerade hier bietet die ipfw (allerdings nicht aus den Systemeinstellungen heraus) sehr gute Schutzmechansimen. Das hat weder etwas mit "sinnlos" noch mit "Hier ist kein Haus" zu tun.

Außerdem sollte man noch bedenken, dass es durchaus nicht unmöglich ist, sich über eine Free-/Shareware einen unerkannten Deinst einzufangen und plötzlich steht jemand am Fenster und reicht Pakete hinaus und herein. Das ein Portfilter hier keinen völligen Schutz bieten kann, ist mir auch klar, aber er kann doch die Latte wesentlich höher aufhängen.


Zusammanfassend möchte ich sagen, dass die integrierte Firewall in bestimmten Sitauationen IMHO durchaus einen recht guten Schutz bieten kann (und somit mitnichten "sinnlos" ist), aber natürlich keine 100%ige Sicherheit .
 
Hi maceis,
meine Darstellung war natürlich etwas verkürzt, um verständlicher zu sein. Natürlich hat ein Paketfllter seine Daseinsberechtigung, aber wie sagst Du so schön in Deiner Sig "Wenn man das Ziel nicht kennt, ist es schwer die Richtung zu weisen". Eine sinnvolle Konfiguration von ipfw ist so komplex, daß man, wenn man nicht SEHR genau weiß was man tut, kaum Vorteile aus ipfw ziehen kann. Ich denke man kann davon ausgehen, daß >90% der Leute, die hier nach Firewall und Sicherheit fragen, ipfw nicht konfigurieren können. Das scheitert schon an den einfachen Konzepten. Wer nicht weiß was Pakete, Ports, und Dienste sind, der hat logischerweise extreme Schwierigkeiten mit ipfw. Hier wollte meine Antwort ansetzen. Für Sicherheitsprofis wie Dich waren meine Ausführungen nicht gedacht ;)

Zu "Wenn es die "Stufe davor" nicht gibt, kann sie nur auf dem zu schützenden Rechner ansetzen." ist zu sagen, daß es keinen Grund gibt, diese Stufe davor nicht in Form eines Routers selbst zu implementieren.

Natürlich gibt es eine Menge Dienste, die man sich "ins Haus holen" kann, allen voran die ganzen filesharing-Geschichten. Wer so etwas wissentlich auf seinem Rechner laufen läßt, hat Defizite in seinem Verständnis von IT-Sicherheit, die sich durch den Gebrauch einer personal firewall nicht beheben lassen.
 
DALKODA schrieb:
Darüber hinaus meinte der Experte, dass Wifi sicherheitstechnisch ein Sch... sei. Ist das so? Ich verwende Airport Express
Neben den ganzen Verschlüsselungsmethoden ist die Umgebung natürlich auch noch ausschlaggebend.
Denn auch ein völlig unverschlüsseltes WLAN Netz kann 100%ig sicher sein.
Denn wohnt man alleine auf einer Wiese ohne direkten Nachbarn und das WLAN reicht gerade so bis in den Garten, dürfte die Verschlüsselung wohl eher nebensächlich sein! :D

Anders sieht es natürlich in der Großstadt aus.
 
BirdOfPrey schrieb:
Neben den ganzen Verschlüsselungsmethoden ist die Umgebung natürlich auch noch ausschlaggebend.
Denn auch ein völlig unverschlüsseltes WLAN Netz kann 100%ig sicher sein.
Denn wohnt man alleine auf einer Wiese ohne direkten Nachbarn und das WLAN reicht gerade so bis in den Garten, dürfte die Verschlüsselung wohl eher nebensächlich sein! :D

Anders sieht es natürlich in der Großstadt aus.


Dem kann ich wohl zustimmen.
 
Habt ihr die Firewall aktiviert? Meine ist eigentlich deaktiviert,... Bringt die wirklich was? Oder fallen mit der nur Probleme an?

Léo
 
Ich denke, dass die Firewall schon einen gewissen Schutz bietet.

Dalkoda
 
@leo

hast Du den Thread eigentlich gelesen :confused:
 
Klar habe ich es gelesen.

Einige meinen aber, bei Mac sei eine Firewall nicht nötig, andere wiederum sagen, man braucht eine. (sogar externe/Router)

Léo
 
Also mir fällt da ein konkretes Beispiel ein, wo ich die Fierewall vielleicht tatsächlich bräuchte.

Ich habe auf meinem Powermac manchmal unter Sharing „Entfernte Apple Events” aktiviert (für iTunes Steuerung) und den Dienst soll man nur aus dem LAN benutzen können.

Wenn dieser Mac direkt am Internet (ohne Router mit Firewall) hinge, wäre der Dienst auch über das Internet zugänglich (mit dem entsprechenden Kennwort), aber das ist eine überflüssige Sache und sollte mit der Firewall abgestellt werden können.

Es ist ja oben schon gesagt worden, daß das Firewall-GUI von Sharing hier nicht ausreichen würde. Da das auch der einzige Fall ist, in dem ich mir den Sinn einer Firewall vorstellen kann, ist der einzige Sinn der OSX Firewall (so wie sie für den Noob Benutzbar ist), einen direkt an das Internet angechlossenen Rechner abzuschirmen. Das dann aber auch ins LAN (?).

Sicherer als jede Firewall scheint mir daher das Konzept, nicht benötigte Dienste auszuschalten und keine komischen Programme auszuführen. Ob die Firewall an oder aus ist ist glaub ich schwer egal.

Im Auslieferungszustand von Tiger ist sie übrigens ausgeschaltet und wenn daß schlecht wäre hätte man es in den Medien gehört.
 
Zurück
Oben Unten