walfrieda
Aktives Mitglied
- Dabei seit
- 29.03.2006
- Beiträge
- 9.252
- Reaktionspunkte
- 1.173
Viel besser kann man es nicht ausdrücken! Genau so sieht es aus!
Firewall an oder aus?
- Ersteller boldenburg
- Erstellt am
Viel besser kann man es nicht ausdrücken! Genau so sieht es aus!
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.220
- Reaktionspunkte
- 13.807
Ich muss da ratti schon Recht geben. Im heimischen LAN hinter einem Router ist es überflüssig, und sogar direkt mit dem Internet verbunden, hängt es davon ab, was du einstellst, spricht auf welchen Ports gelauscht (=LISTEN) werden soll.
Und, was soll "lsof" = "list open files" mit der Firewall zu tun haben? Nichts. Die Ports an denen dein Rechner lauscht findest du mit
wobei du erst mal alle Zeilen mit ::1 und 127.0.0.1 außer Acht lassen kannst, da die nicht von außen erreichbar sind. Und wenn du diese Ausgabe nun ansiehst erkennst du eben genau das was ratti sagt.
Und, was soll "lsof" = "list open files" mit der Firewall zu tun haben? Nichts. Die Ports an denen dein Rechner lauscht findest du mit
Code:
netstat -an | grep LISTEN
asg
Aktives Mitglied
- Dabei seit
- 21.10.2003
- Beiträge
- 1.228
- Reaktionspunkte
- 110
Wer sprach von merkwürdiger SW? Eigener Netzwerkstack...
Oh man, genau, worst case Szenarien aufmalen und andere Szenarien aussen vor lassen weil man sie nicht sehen will.
Lass die Scheuklappen auf, das Thema ist komplexer als nur links und rechts zu sehen. Gebe Dir aber recht, Diskussion beendet...
maba_de
Aktives Mitglied
- Dabei seit
- 15.12.2003
- Beiträge
- 20.517
- Reaktionspunkte
- 12.452
copy paste Fehler von mir, hatte mir gerade aktive Verbindungen angesehen.
Mal abgesehen davon, das man auch hier sieht, welche Ports im Status Listen sind.
BSDheld
Aktives Mitglied
- Dabei seit
- 27.01.2009
- Beiträge
- 811
- Reaktionspunkte
- 177
Ich glaube, Du hast das Prinzip einer Firewall nicht verstanden. Die Firewall soll Regeln durchsetzen, die der User aufgestellt hat. Sprich, Dienste die der User freigeben will, werden in der Firewall freigeschaltet. Dienste, die das OS automatisch startet und Dank Apples ab und an auftauchender Unfähigkeit auch von außen erreichbar sind, werden geblockt. Die Firewall ist eine zusätzliche Software, aber in den ganzen 20(!) Jahren ist mir noch kein Server wegen einer laufenden Firewall hopsgenommen worden. Egal ob da ipfilter, pf oder ipfw drauf lief. Im Gegenteil, einmal hat sie mir den Arsch gerettet, als ich mit dem Patchen nicht nachkam und einen Angreifer daran hinderte, eine reverse shell aufzumachen.
Dabei sollte man beachten das man von vielen ISP's inzwischen ein /64 ipv6 subnet zugewiesen bekommt, und so ist so mancher zu hause schon per ipv6 erreichbar, ohne es zu wissen. Dann gibts auf einmal kein NAT mehr. Der router hat dann hoffentlich eine funktionierende Firewall
walfrieda
Aktives Mitglied
- Dabei seit
- 29.03.2006
- Beiträge
- 9.252
- Reaktionspunkte
- 1.173
Sprechen wir jetzt von einem echten Sicherheitskonzept "Firewall" oder einem Stück Software, das auf dem zu schützenden Rechner läuft? Ersteres ist sicher nicht unsinnig, muß aber um vernünftig zu arbeiten vor dem zu schützenden Rechner stehen und entsprechend sinnvoll konfiguriert werden. Zweiteres ist sinnloser Mumpitz.
Das wäre dann aber genau das Gegenteil von dem, was der normale User unter "Firewall an oder aus" versteht. Dabei geht es nicht um User-definierte Regeln, sondern darum irgendwo einfach einen "An"-Knopf zu klicken und sich sicher zu fühlen.
Ganz konkret: welche Dienste wären das, die "automatisch gestartet" werden ohne daß der User Einfluß darauf hätte und sie einfach ausschalten könnte?
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.220
- Reaktionspunkte
- 13.807
Ich glaube du bringst hier etwas durcheinander. Hier hast du geschrieben
und wenn dir ratti drauf antwortet,
dass die Diskussion sinnlos wird, weil du glaubst, dass eine Firewall verhindern würde, dass rausverbunden wird, dann hat er einfach Recht. Eine Firewall verhindert nicht das raus-telefonieren, sondern eingehende Verbindungen können geblockt werden.
Du irrst dich hier wirklich.
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.220
- Reaktionspunkte
- 13.807
... zumindest der TE spricht vom zweiten Fall, da er gefragt hat warum die Firewall auf seinem Mac nicht aktiviert ist und ob er sie einschalten soll.
Bei dieser Diskussion reden meiner Meinung nach zwei Gruppen aneinander vorbei.
Die eine redet von einer Firewall im klassischen Sinne, die ein Netzwerk durch regelbasierte Zugriffskontrolle schützt.
Dabei geht es den Leuten je nach Philisophie um white- oder blacklisting. Soll heissen sie erlauben das was sie kennen oder verbieten das was sie explizit nicht wollen.
Die anderen schauen auf ihren Heimrechner und denken "Hmm. Ich würde gerne wissen welche Applikation nach aussen ins Netz kommuniziert."
Oder sie denken sie müssten sich im vor Angriffen auf Grund von Sicherheitslücken schützen (FlashPlayer, selbst installierte Erweiterungen etc.)
Die erste Gruppe übersieht meiner Ansicht nach das die meisten Menschen keine Ahnung von Netzwerken haben und sich schon über eine grüne Schaltfläche freuen auf der steht "Es ist alles Super!!!".
Die kommt dann mit IP Filter, Firewall Regeln, erzählt von Listenern und netstat und tcpdump.
(Mal davon abgesehen dass man ein Sicherheiskonzept nicht auf dem Rechner umsetzt an dem man sitzt, sondern sich dann tatsächlich nen Switch und / oder einen Linux Recher als Gateway baut)
Die zweite Gruppe will einfgach nicht einsehen, dass 99,76% aller Sicherheitssoftware auf ihrem Rechner, inklusive der Application Firewall von Apple, totaler Bullshit sind.
Klar sieht man da "irgendwas", aber die echte Attacke aus dem Netz wird man damit nicht verhindern.
Mich ärgert immer das bestimmte Software beworben wird die eigentlich nur mit bunten Oberflächen Geld verdienen.
Wer sich wirklich privat mit Sicherheit beschäftigen will, baut sich entweder eine passende Infrastruktur, oder er ist sich wenigstens bewusst das er seine wichtigen Daten von seinem Arbeitsrechner trennen sollte. Dafür reicht schon ein NAS, ein Backup, ein bisschen Übersicht über die Aktivitäten am Rechner und ein guter Plan falls was schiefgeht.
EDIT: Ich möchte anmerken, dass es hier mindestens 3 neue Antworten gabm, während ich tippte. Ich beziehe mich NICHT auf die letzten Beiträge über mir.
Die eine redet von einer Firewall im klassischen Sinne, die ein Netzwerk durch regelbasierte Zugriffskontrolle schützt.
Dabei geht es den Leuten je nach Philisophie um white- oder blacklisting. Soll heissen sie erlauben das was sie kennen oder verbieten das was sie explizit nicht wollen.
Die anderen schauen auf ihren Heimrechner und denken "Hmm. Ich würde gerne wissen welche Applikation nach aussen ins Netz kommuniziert."
Oder sie denken sie müssten sich im vor Angriffen auf Grund von Sicherheitslücken schützen (FlashPlayer, selbst installierte Erweiterungen etc.)
Die erste Gruppe übersieht meiner Ansicht nach das die meisten Menschen keine Ahnung von Netzwerken haben und sich schon über eine grüne Schaltfläche freuen auf der steht "Es ist alles Super!!!".
Die kommt dann mit IP Filter, Firewall Regeln, erzählt von Listenern und netstat und tcpdump.
(Mal davon abgesehen dass man ein Sicherheiskonzept nicht auf dem Rechner umsetzt an dem man sitzt, sondern sich dann tatsächlich nen Switch und / oder einen Linux Recher als Gateway baut)
Die zweite Gruppe will einfgach nicht einsehen, dass 99,76% aller Sicherheitssoftware auf ihrem Rechner, inklusive der Application Firewall von Apple, totaler Bullshit sind.
Klar sieht man da "irgendwas", aber die echte Attacke aus dem Netz wird man damit nicht verhindern.
Mich ärgert immer das bestimmte Software beworben wird die eigentlich nur mit bunten Oberflächen Geld verdienen.
Wer sich wirklich privat mit Sicherheit beschäftigen will, baut sich entweder eine passende Infrastruktur, oder er ist sich wenigstens bewusst das er seine wichtigen Daten von seinem Arbeitsrechner trennen sollte. Dafür reicht schon ein NAS, ein Backup, ein bisschen Übersicht über die Aktivitäten am Rechner und ein guter Plan falls was schiefgeht.
EDIT: Ich möchte anmerken, dass es hier mindestens 3 neue Antworten gabm, während ich tippte. Ich beziehe mich NICHT auf die letzten Beiträge über mir.
HI,
NIcht das ich die Widersprechen möchte, aber hast du da irgendwelche Belege für?
Atti
Der erste und beste Beleg ist der, dass eine Software die einen Rechner schützen soll, nichts auf diesem Rechner verloren hat.
Deshalb sind auch die ganzen DSL Router so anfällig, da sie so viele Zusatzfunktionen bieten, die Teil ihres eigenen Systems sind.
Habe ich Zugriff auf ein System das gleichzeitig die Funktion des Systems selbst und den Schutz des Systems gewährleisten soll,
ist jeder mögliche Angriffsvektor aufgrund der vom Rechner gewollt freigeschalteten Dienste offen.
EDIT: Da mein abstraktes Geschreibsel keiner versteht:
Es macht weit mehr Sinn, sich mit der Konfiguration der OSX interne Dienste wie SSH, CUPS und Dateisharing zu beschäftigen und diese dann so zu konfigurieren das sie gegen ungewollten Zugriff sichere sind, als einfach Little Snitch parallel laufen zu lassen und zu hoffen das irgendwas "entdeckt" wird.
Niemand den ich kenne, der "nur" Macs benutzt hat soviel Weitsicht einfach mal durch dsie Liste der Standard Prozesse zu gehen und sich mal zu überlegen wo die Konfiguration ist und was man da machen könnte.
walfrieda
Aktives Mitglied
- Dabei seit
- 29.03.2006
- Beiträge
- 9.252
- Reaktionspunkte
- 1.173
Das ist nicht das Problem. Das Problem ist, daß die meisten Leute nicht einfach der Gruppe glauben, die tatsächlich weiß wovon sie spricht.
Klar, deswegen gibt es ja auch zahllose Hersteller, die eigentlich nur solche grünen Schaltflächen verkaufen.
Das ist der Versuch, zu erklären warum etwas Mumpitz ist - einfach glauben tun die Leut es ja leider nicht. Warum auch auf Fachleute hören, wenn man doch schon eine feste Meinung hat. Meinung ohne Ahnung, das ist das schlimmste...
So sieht's aus.
Eben. Das ist nicht nur ärgerlich, sondern erschwert es zusätzlich, die "Normalbenutzer" zu überzeugen.
Kiekemal
Mitglied
- Dabei seit
- 02.01.2015
- Beiträge
- 70
- Reaktionspunkte
- 8
Du hast mich jetzt ein wenig neugierig gemacht. Kannst du auch ein Beispiel der verbleibenden 0,24% nennen?
Gerne. Es gibt unter OSX weiterhin alle Unix Tools die man von BSD her kennt.
Dazu gehört auch der frühere IP Firewall "ipfw", die ab Yosemite "pfctl" heisst.
Wenn man diese dazu benutzen möchte die offenen Services im Heimnetz ein bisschen weiter "abzudichten",
hat man was gelernt und ist wenigstens einen Schritt weiter.
Diese Tools gehören zu den 0,24% der Software die man lokal einsetzen könnte, wenn man den die Motivation davon hat.
Ich hoffe das Du trotz des offensichtlichen vorhandenem Sarkasmus in Deiner Frage etwas von der Antwort hattest.
http://www.thedeepsky.com/howto/newbie_pf_guide.php
Schau mal wie Apple das gemacht hat, die Konfiguration unter /etc/pf.conf existiert.
ratti
Aktives Mitglied
- Dabei seit
- 09.05.2004
- Beiträge
- 1.521
- Reaktionspunkte
- 56
Der Vollständigkeit halber: Eine „echte Firewall“, will sagen…:
- auf einem eigenständigen System
- ggf. mit DeepPaketInspection
- Ohne lustiges „Wir legen Regeln an im browserbasierten Interface in einer Apache-PHP-Konstruktion“
- Ohne weitere Dienste darauf, weil Hardware ja so teuer ist
…ist etwas ganz anderes. Ich nehme mir, angesicht des Umfeldes hier, einfach mal die Freiheit anzunehmen, dass es darum nicht geht. So eine „echte Firewall“ kann dann z.B. verhindern, dass ein-und-dieselbe IP-Adresse zum 200sten Mal das Kontaktformular deines Webshops abschicken will.
Wer auf seinem Rechner eine „Personal Firewall“ installiert, und eine andere Software mit Admin-Rechten, der hat keine Firewall mehr. Die andere Software hat voll Zugriffsrechte auf das System und kann die Firewall komplett ersetzen, ohne dass der Nutzer es merkt.
Eine PFW auf dem eigenen System ist so verlässlich wie beten.
- auf einem eigenständigen System
- ggf. mit DeepPaketInspection
- Ohne lustiges „Wir legen Regeln an im browserbasierten Interface in einer Apache-PHP-Konstruktion“
- Ohne weitere Dienste darauf, weil Hardware ja so teuer ist
…ist etwas ganz anderes. Ich nehme mir, angesicht des Umfeldes hier, einfach mal die Freiheit anzunehmen, dass es darum nicht geht. So eine „echte Firewall“ kann dann z.B. verhindern, dass ein-und-dieselbe IP-Adresse zum 200sten Mal das Kontaktformular deines Webshops abschicken will.
Wer auf seinem Rechner eine „Personal Firewall“ installiert, und eine andere Software mit Admin-Rechten, der hat keine Firewall mehr. Die andere Software hat voll Zugriffsrechte auf das System und kann die Firewall komplett ersetzen, ohne dass der Nutzer es merkt.
Eine PFW auf dem eigenen System ist so verlässlich wie beten.
Klar. Ich sagte ja, das ist aller Quatsch auf dem lokalen Rechner.
Aber ich wurde sarkastisch nach den verbleibenden 0,24% an verfügbarer Software gefragt und wollte mal pfctl erwähnen.
Die meisten wissen nichtmal das all diese Tools existieren.
Wenn Du meine anderen Beiträge liest bin ich für "richtiges" Netzwerk Design mit Firewall oder eben keiner.
Kaito
Aktives Mitglied
- Dabei seit
- 31.12.2005
- Beiträge
- 7.093
- Reaktionspunkte
- 1.844