Firewall an oder aus?

[boldenburg]

Moin,
per Defaulteinstellung ist offenbar die Firewall deaktiviert - kenne ich von Win-Rechnern umgekehrt. Hat es einen Grund, dass nach einer Neuinstallation die Firewall auf einem Mac nicht eingeschaltet ist?

Und - empfiehlt es sich, diese nachträglich einzuschalten?
Ich weiss - in Sachen Viren & Co. ist Mac OS nicht so sehr "gefährdet" wie ein Win-PC.

Danke euch.

Ach ja:
Mac OS 10.10.4

 

[dirkkuepperpunktde]

Hast Du sonst keinen Router mit Firewall? Dann ja, sonst kannst Du es aus lassen.

 

[boldenburg]

Danke, habe die Fritzbox 7490...
also lasse ich es wie es war, ausgeschaltet

 

[asg]

Anmachen. Stichwort: Zwiebelschale.
Denn, was spricht wirklich dagegen diese nicht zu aktivieren?

 

[NeoAtti]

Hi,

Ganz klar: Einschalten! - Gründe sie auszuschalten gibt es nur ganz ganz wenige - und 99.9% davon haben was mit Faulheit, Unwissen oder Leichtsinn zu tun ... die MacOSX FW ist jetzt auch nicht so schwierig zu konfigurieren.

Atti

 

[maba_de]

im heimischen LAN würde ich die Firewall ausschalten, da ist sie schlicht unnötig.
Im fremden Netz würde ich sie einschalten und vor allem auch darauf achten, welche Dienste ich anbiete.

 

[ratti]

Snake Oil. „Firewalls“ und „Antivirus“ immer in die Tonne.

 

[electricdawn]

Bei Antivirus mag ich Dir ja recht geben, aber warum eine Firewall Snake Oil sein soll, wirst Du mir mit Sicherheit gut erklären können. Sie ist mit Sicherheit kein Allheilmittel, aber als unnötig würde ich sie nicht bezeichnen. Man muss ja nicht unbedingt jeden Port offen in die Welt hinausschreien.

 

[ratti]

Welchen Port schreist Du denn in die Welt hinaus, wenn Du dich hinter einem maskierenden Router befindest, der nichts forwardet? Mit einem Rechner, an dessen Ports keine Services lauschen? Und wenn da Services lauschen, dann sind sie genau dafür gedacht, oder Du deaktivierst Sie einfach.
„Firewall“ ist rumbasteln an der Klingelanlage, damit keiner Einbrechen kann.

 

[maba_de]

dann gib doch, nur mal Spaßeshalber, lsof -i im Terminal ein und wundere dich, was da so alles offen ist und in der Welt rumfunkt.

Im Heimnetz ist das egal, in fremden Netzen sollte man schon wissen, was offen ist und ob das wirklich nötig ist.

 

[agrajag]

Anmachen. Stichwort: Zwiebelschale.
Denn, was spricht wirklich dagegen diese nicht zu aktivieren?

Sinnlosigkeit?
- Wenn ich nicht will, daß jemand auf einen offenen Port zugreift, kann ich den Dienst auch gleich beenden. -> FW unnötig
- Wenn ich es will, muss ich die FW für diesen Port öffnen. -> FW unnötig
- Die FW ist eine zusätzliche, potenziell angreifbare SW. Es gab sogar schon demonstrationen wo mit Hilfe der FW der Rechner hops genommen wurde.

Das gilt jetzt nur für Personal Firewalls (also jene, die auf dem zu schützenden Rechner laufen). Ich benutze schon ewig keine mehr.

 

[NeoAtti]

Hi,

Wenn du dein WLAN / LAN als absolut sichere Zone betrachtest, ist das korrekt.

Atti

 

[dirkkuepperpunktde]

Bei mir ist das nicht so viel:
UserEvent 272 admin 4u IPv4 0x12d1de9a2de2d84b 0t0 UDP *:*
SystemUIS 281 admin 20u IPv4 0x12d1de9a306588b3 0t0 UDP *:57475
SystemUIS 281 admin 22u IPv4 0x12d1de9a2f408b0b 0t0 UDP *:*
sharingd 362 admin 12u IPv4 0x12d1de9a2f31a523 0t0 UDP *:*
sharingd 362 admin 16u IPv4 0x12d1de9a2f31a073 0t0 UDP *:*
WiFiAgent 452 admin 16u IPv4 0x12d1de9a306544bb 0t0 UDP *:*
Klar wenn Du weitere Programme geöffnet hast, bleibt es nicht aus. Aber was eine Firewall ist und was sie eigentlich macht, hat mit dem was da im Betriebsystem (egal ob Mac OS X oder Windows) nicht wirklich viel zu tun. Personal Firewall != Firewall Siehe auch gerne https://de.wikipedia.org/wiki/Firewall

 

[ratti]

lsof liefert dir eine Liste offener Filehandles. Was Du meinst ist z.B. netstat. Was Du damit wiederum findest ist Zeug, dass dein Rechner entweder zum funktionieren braucht (zeroconf, ntp,…) oder dass Du selbst installiert oder aktiviert (Filemaker, ARD, Apache, ftp,…) hast. Und vor allem siehst Du in der Regeln *ausgehende* Verbindungen, nicht eingehende.

Solltest Du in der Tat einen Dienst finden, der da nicht (so) sein soll — dann hängst Du da keinen Paketfilter a.k.a. „Firewall“ davor, sondern Du deaktivierst den Dienst, limitierst ihn auf die benötigten Interfaces und sorgst für eine sichere Authentifizierung. Je nach dem.

Und solltest Du generell Sicherheitsbedenken gegen lauschende Software haben - deine Firewall ist auch nichts anderes.

Im Netz grassiert eine schreckliche Seuche: Die Angst vor „offenen“ oder „erreichbaren“ Ports. Man müsse den Port unbedingt „sperren“ oder das Interface in den „Stealth mode“ bringen. Nichts davon ist richtig. Ein Port ist wie eine Klingel: „Guten Tag, ich möchte eine Mails von Herrn X aus Nigeria ausliefern“ — „Tut mir leide, die nehme ich nicht an“. „Ich möchte mich einloggen“ — „Gern, wenn Sie das Passwort kennen“. „Ach, sie können sich nicht ausweisen? Dann gehen Sie jetzt bitte.“

Es ist überhaupt kein Problem, dass jemand klingelt. Soll er doch. So funktioniert das Netz.

 

[ratti]

im heimischen LAN würde ich die Firewall ausschalten, da ist sie schlicht unnötig.
Im fremden Netz würde ich sie einschalten

Wer im Kaffeeladen ins WLAN geht, der ist sicherheitstechnisch eh nicht mehr zu retten :-D , da würde ich dann das Geld für den Paketfilter sparen und stattdessen in einen seriösen VPN-Anbieter investieren.

 

[dirkkuepperpunktde]

Mit lsof siehst Du in der Tat welche Programme Dateien geöffnet haben. Mit netstat siehst Du welche IP Adressen mit welchen IP Adressen auf welchen Ports von wo nach wo kommunizieren. Manchmal machen aber auch Programme Netzwerkverbindungen auf. Safari, Mail, Adobe, Microsoft um nur ein paar zu nennen. Manche müssen über das Netzwerk arbeiten können. Mail zum Beispiel, denn sonst bekommst Du keine eMails mehr. Manche Programme sollen aber nicht nach draussen rufen und zum Mutterschiff funken. Da hilft Little Snitch ganz gut.

 

[maba_de]

es geht hier einfach darum, dass einem die Firewall, die Mac OS X mitbringt (richtiger ist die Aussage, das Mac OS X sogar zwei mitbringt) dem unbedarften User eine gewisse Sicherheit gibt, denn der ist sich nicht darüber im klaren, welche Dienste und Anwendungen (!) auf welchen Ports lauschen. Und selbst unbedarften Usern sollte es klar sein, das manche Software nicht ins Netz muss bzw. auf Ports lauschen muss.
Und deshalb, im Fremdnetz Firewall an und so wenig wie möglich anbieten.

 

[asg]

Oh wei, man liest "sinnlos" und wenn nichts auf dem Port lauscht dann braucht man es nicht.
Ja, es ist erstmal eine Applikation FW, welche App darf wie funken. Und da ist es sinnvoll diese zu aktivieren. Denn ohne hier vorher den Zugriff
freizugeben kann die App nicht raus oder auch nichts auf die App/Port rein. Wenn ich lese das in einer Demonstration mit Hilfe der FW der Rechner "hopps" genommen wurden, dann stellt sich die Frage, welche FW, und... ach, quark, auf der anderen Seite ist tausendfach bewiesen, dass man sich Schadsoftware einfangen kann welche dann nach Hause telefoniert und/oder Schadende nachlädt...jaja, aber doch nicht unter MacOSX.

Und wer es noch weiter treiben will: PF ist vorhanden und kann aktiviert werden...

Mal im ernst, es spricht erstmal null, nada, nichts gegen die Aktivierung.

 

[pmau]

Aus. Es sei denn man weiss was man warum erreichen will.

 

[ratti]

Oh wei, man liest "sinnlos" und wenn nichts auf dem Port lauscht dann braucht man es nicht.
Ja, es ist erstmal eine Applikation FW, welche App darf wie funken. Und da ist es sinnvoll diese zu aktivieren. Denn ohne hier vorher den Zugriff
freizugeben kann die App nicht raus oder auch nichts auf die App/Port rein.

Achduscheisse. Darauf habe ich gewartet, dass jemand sagt, die Firewall hindert ein Programm daran, RAUSzuverbinden, weil diese Software werweisswas tut. An der Stelle ist die Diskussion beendet — in so einer Situation braucht man keine Firewall, sondern eine saubere Neuinstallation ohne „merkwürdige“ Software (…die natürlich, wenn sie mit Admin-Rechten installiert wurde, völlig problemlos an der Firewall vorbeikommt, indem sie einen eigenen Netzwerkstack mitbringt).

Was die eingehenden Verbindungen angeht: Wozu hast Du die Software auf dem Rechner, wenn sie keine Anfragen beantworten soll?