Firewall an oder aus?

[asg]

dass die Diskussion sinnlos wird, weil du glaubst, dass eine Firewall verhindern würde, dass rausverbunden wird, dann hat er einfach Recht. Eine Firewall verhindert nicht das raus-telefonieren, sondern eingehende Verbindungen können geblockt werden.

Du irrst dich hier wirklich.

Nene, eine FW kann beide Richtungen. Sowohl ein- als auch ausgehend.
Ich kann sehr wohl bei einer Firewall (spreche allgemein) die eine Richtung zulassen, die andere aber nicht. So kann eine FW, je nach src und dst sehr wohl ausgehende Verbindungen blockieren. Was auch sinnvoll ist.
Neben den klassischen Portfirewalls gibt es eben noch Applikationsfirewalls. Immer mehr verschwimmt hierbei auch die Trennung der Layer, so dass viele FW auch IPS machen oder, noch weitere, ALG, was prinzipiell nichts anderes ist als eine Applikationsfirewall.

Man nehme Port 1521 ausgehend. Das wäre bsp. Oracle. Eine Portfirewall lässt das einfach zu, auch wenn da gar nicht Oracle werkelt sondern eine andere Software. Bei ALG, bsp. PaloAlto, würde diese erkennen das es sich nicht um ausgehende Verbindungen von Oracle handelt, sondern einer anderen Software und würde die Verbindung nicht zulassen.

Das Theme Firewall, will ich damit sagen, ist mannigfaltig und kann heute nicht mehr mit auf und zu beantwortet werden.

 

[asg]

Gerne. Es gibt unter OSX weiterhin alle Unix Tools die man von BSD her kennt.
Dazu gehört auch der frühere IP Firewall "ipfw", die ab Yosemite "pfctl" heisst.

Wenn man diese dazu benutzen möchte die offenen Services im Heimnetz ein bisschen weiter "abzudichten",
hat man was gelernt und ist wenigstens einen Schritt weiter.

Diese Tools gehören zu den 0,24% der Software die man lokal einsetzen könnte, wenn man den die Motivation davon hat.
Ich hoffe das Du trotz des offensichtlichen vorhandenem Sarkasmus in Deiner Frage etwas von der Antwort hattest.

http://www.thedeepsky.com/howto/newbie_pf_guide.php

Schau mal wie Apple das gemacht hat, die Konfiguration unter /etc/pf.conf existiert.

Das Teil heißt "PF". pfctl ist Packet Filter Control. Siehe auch entsprechende man page.
PF ist eine Portfirewall. Kein ALG, Applicationfirewall. Wenn mir was auf Port 80, da evtl. freigegeben, raus funkt, dann kann das jede APP sein
die meint darüber zu funken. Stellt die PF nicht fest. Daher werden ALGs auch immer mehr im professionellen Umfeld eingesetzt, um zu sehen welche App da wirklich funkt und ob das zugelassen ist.

 

[BSDheld]

Ganz konkret: welche Dienste wären das, die "automatisch gestartet" werden ohne daß der User Einfluß darauf hätte und sie einfach ausschalten könnte?

Diese zum Beispiel. die rot markierten Dienste habe ich nicht gestartet, sind aber von außen erreichbar.

Sprechen wir jetzt von einem echten Sicherheitskonzept "Firewall" oder einem Stück Software, das auf dem zu schützenden Rechner läuft? Ersteres ist sicher nicht unsinnig, muß aber um vernünftig zu arbeiten vor dem zu schützenden Rechner stehen und entsprechend sinnvoll konfiguriert werden. Zweiteres ist sinnloser Mumpitz.

Eine dedizierte und vom Client-Rechner nicht manipulierbare Firewall ist natürlich besser als eine FW, die auf dem Host läuft. Trotzdem ist Letztere in einem offenen WLAN besser, als mit heruntergelassenen Hosen dazustehen. Und welcher User nutzt ausschließlich einen VPN-Server, wenn er in nicht vertrauenswürdigen Netzen unterwegs ist?
Ich stimme Dir insofern zu, dass eine FW, die ein Durchschnittsuser nicht verstehen und bedienen kann, Murks ist. Das betrifft dann diese spezielle Software. Generell gilt aber, eine Firewall ist immer beides. Der User muss wissen, was er will, also möchte er z.B., das andere Clients auf Dateifreigaben, Drucker, SSH usw. zugreifen können. Dann kommt die FW-Software ins Spiel, die diese Richtlinien umsetzen muss. Auch dass sollte in der heutigen Zeit für normale User nutzbar sein. Heute ohne FW ins Internet zugehen, halte ich persönlich für fahrlässig. BTW, eine maskierender Router ist keine FW, nur das NATing der IP-Adresse ist der Schutz, verhindert aber keine Verbindung nach außen.
Mag auch sein, dass ich mit meinen mehr als 20 Jahren Internet-Erfahrung ein alter Sack bin. Kann ich mit leben.
Nur jammert mir dann bitte nicht die Ohren voll.

 

[BSDheld]

für Application Firewalls, kuckst du -> #11

Toller Beleg!

 

[walfrieda]

Diese zum Beispiel. die rot markierten Dienste habe ich nicht gestartet, sind aber von außen erreichbar.

Von wo außen? Ausserdem sind das keine Dienste, sondern offene Ports. Digital Audio Access Protocol (DAAP) zum Beispiel ist der Dienst, der hinter deinem Port 3689 "lauscht" - für iTunes Sharing und Airplay im lokalen Netz, denn dafür ist dieser Dienst nunmal da. Ist das lokale Netz für dich "von außen"?

Eine dedizierte und vom Client-Rechner nicht manipulierbare Firewall ist natürlich besser als eine FW, die auf dem Host läuft. Trotzdem ist Letztere in einem offenen WLAN besser, als mit heruntergelassenen Hosen dazustehen.

Weil sonst genau was passieren würde?

Und welcher User nutzt ausschließlich einen VPN-Server, wenn er in nicht vertrauenswürdigen Netzen unterwegs ist?

Ich tue das - zwar nicht immer, aber meistens. Nicht wegen offenen Ports oder irgendwas, das mit Firewalls zu tun hätte, sondern wegen dem verschlüsselten Datentransfer, der mir doch ganz lieb ist. Besser ist es natürlich, auf "nicht vertrauenswürdige" Netze zu verzichten, und zB. über einen mobilen Router sein eigenes Netz mitzubringen.

Heute ohne FW ins Internet zugehen, halte ich persönlich für fahrlässig.

Weil sonst genau was passieren würde?

BTW, eine maskierender Router ist keine FW, nur das NATing der IP-Adresse ist der Schutz, verhindert aber keine Verbindung nach außen.

Wenn Verbindungen nach außen für dich ein Problem darstellen, dann hast du ganz andere Probleme als eine Firewall.

Mag auch sein, dass ich mit meinen mehr als 20 Jahren Internet-Erfahrung ein alter Sack bin.

20 Jahre? Anfänger! Ich kann mich ja noch an Mosaic erinnern, der kam 1992, als wir in der Uni schon jahrelang über NNTP und Gopher im Internet waren.

 

[BSDheld]

Von wo außen? Ausserdem sind das keine Dienste, sondern offene Ports. Digital Audio Access Protocol (DAAP) zum Beispiel ist der Dienst, der hinter deinem Port 3689 "lauscht" - für iTunes Sharing und Airplay im lokalen Netz, denn dafür ist dieser Dienst nunmal da. Ist das lokale Netz für dich "von außen"?

Das sind keine Dienste? Und wo von außen? LOL, selten so gelacht! Wer lauscht denn dann an den Ports, wenn nicht Dienste? Außerdem sieht man sehr schön am Asterisk, dass die markierten Ports bzw. Dienste auf allen IP-Adressen des Systems lauschen und damit prinzipiell von außen erreichbar wären, wenn keine Firewall laufen würde. Von außen meint, außerhalb des eigenen Rechners. Beim iTunes Sharing hast Du Recht, dass hab ich aktiviert, aber die anderen Ports/Dienste?

Schönen Sonntag noch und Tschüß aus dem Thread.

 

[walfrieda]

Das sind keine Dienste? Und wo von außen? LOL, selten so gelacht! Wer lauscht denn dann an den Ports, wenn nicht Dienste?

Ich hatte explizit nach Diensten gefragt, und du hast Ports geliefert. Das ist keine Antwort. Ohne den Namen des dahinter lauschenden Dienstes ist des Nennen eines Ports, wie du es getan hast, ohne jede Information. Genau solches Unwissen (oder noch schlimmer Halbwissen) ist es, das Leute in die Arme von Firewall- und Virus-Schutzprogramm-Verkäufern treibt.

Außerdem sieht man sehr schön am Asterisk, dass die markierten Ports bzw. Dienste auf allen IP-Adressen des Systems lauschen und damit prinzipiell von außen erreichbar wären, wenn keine Firewall laufen würde. Von außen meint, außerhalb des eigenen Rechners.

Wenn alles ausserhalb localhost für dich eine Gefährdung darstellt, hilft das Abschalten des Wifi besser als jede Firewall

Beim iTunes Sharing hast Du Recht, dass hab ich aktiviert, aber die anderen Ports/Dienste?

Du siehst, ohne Angabe des Dienstes kann man aus den Nummern der Ports eine mögliche Gefährdung nicht abschätzen. Man kann eventuell nichtmal sagen, ob man den Dienst selbst aktiviert hat, so wie du beim iTunes Sharing. Erst als Beleg für eine Gefährdung geliefert, dann zurückgerudert mit "ah, ja, stimmt, das nutze ich ja wirklich selber...". Eine klare Vorstellung von IT-Sicherheit sieht anders aus. Ich sag mal: für jeden deiner offenen Ports gibt es einen Dienst, den du aktiv nutzt. Und den du abschalten kannst, statt eine Firewall genau das blockieren zu lassen, was du nutzen willst. Denn was anderes findet die Wall zum Blocken ja gar nicht vor.

Die 49tausender und 61tausender Ports sind übrigens normalerweise für "Back to my Mac" oder andere Cloud-Geschichten, die du offensichtlich auch angeschaltet hast und nutzt.

 

[pmau]

Schönen Sonntag noch und Tschüß aus dem Thread.

Dir auch einen schönen Sonntag. Man muss doch nicht gleich überreagieren.
Das meine ich ohne Ironie.

 

[ratti]

Mich würde an der Stelle interessieren, was Lieschen Müller denn tut, wenn die Personal Firewall fragt:

„xsand will auf Port 49154 lauschen. Ja, Nein, Immer?“ Nichtmal der Profi kann diese Frage entscheiden. Vielleicht heisst die Malware einfach xsand, vielleicht ist es ein notwendiger Dienst von Apple,… egal, wie ich mich entscheide: Kann sein, dass ich eine Mailware freischalte. Kann sein, dass ich einen Dienst blocke und mein Mac nicht mehr korrekt funktioniert. Aber ich wette, die Software wird eine grüne Lampe zeigen. Hat ja Geld gekostet.

Es ist zwar nicht mein Job, aber ich habe in meinem Leben vielen Menschen bei Mac-Problemen geholfen, und wenn irgendwas symptomatisch ist, dann das: Im Paketfilter wird zuviel geblockt. Weil alles, was vom Namen her nicht verstanden wird, von Lieschen Müller als „unnötig“ geblockt wird. Man will ja mit Firefox ins Netz, und nicht mit ntpd!!!!!!!!111einseinself!
Und, jetzt einfach mal ungefiltert runtergerockt: Es ist jedesmal das Letzte, auf das man kommt: „Aber der Dienst läuft doch, warum zur Hölle antwortet er nicht…?“. Und es ist jedesmal, um unlizensierte Software vom nach-Hause-telefonieren abzuhalten. Noch nicht einmal in meinem Leben hätte ich erlebt, das eine PFM aufpoppt, weil eine Malware anklopft. Als ob die so dämlich wären. Malware ist effizient und kommt komplett anders auf die Kisten.

 

[doubleh]

Ich muss da ratti schon Recht geben. Im heimischen LAN hinter einem Router ist es überflüssig, und sogar direkt mit dem Internet verbunden, hängt es davon ab, was du einstellst, spricht auf welchen Ports gelauscht (=LISTEN) werden soll.

Und, was soll "lsof" = "list open files" mit der Firewall zu tun haben? Nichts. Die Ports an denen dein Rechner lauscht findest du mit

netstat -an | grep LISTEN

wobei du erst mal alle Zeilen mit ::1 und 127.0.0.1 außer Acht lassen kannst, da die nicht von außen erreichbar sind. Und wenn du diese Ausgabe nun ansiehst erkennst du eben genau das was ratti sagt.

Ich hab da nur zwei Ports die wie von dir beschrieben anfangen.

Aber im fremden Netz muss man dann doch noch die Firewall einschalten?

 

[lisanet]

Auf unixoiden Systemen sind Sockets Dateien.

ja, das ist mir schon klar, dennoch ...

lsof -i | grep LISTEN

ergibt bei mir (mit xxx habe ich meinen Accountnamen) ersetzt

2BUA8C4S2 331 xxx   10u  IPv4 0x16112d0d2bfd505b      0t0  TCP localhost:6258 (LISTEN)
2BUA8C4S2 331 xxx   11u  IPv6 0x16112d0d27e0e7eb      0t0  TCP localhost:6258 (LISTEN)
2BUA8C4S2 331 xxx   12u  IPv4 0x16112d0d2bfd4783      0t0  TCP localhost:6263 (LISTEN)
2BUA8C4S2 331 xxx   13u  IPv6 0x16112d0d2a027d2b      0t0  TCP localhost:6263 (LISTEN)
SpotifyWe 340 xxx    6u  IPv4 0x16112d0d25e78cfb      0t0  TCP localhost:4370 (LISTEN)
SpotifyWe 340 xxx    7u  IPv4 0x16112d0d25e7a783      0t0  TCP localhost:4380 (LISTEN)

also allesamt nur Ports auf denen lokal, also _nicht_ für Verbindungen von außen, gelauscht wird. Wohingegen

netstat -an | grep LISTEN

folgendes ergibt:

tcp6       0      0  ::1.6263               *.*                    LISTEN   
tcp4       0      0  127.0.0.1.6263         *.*                    LISTEN   
tcp6       0      0  ::1.6258               *.*                    LISTEN   
tcp4       0      0  127.0.0.1.6258         *.*                    LISTEN   
tcp4       0      0  127.0.0.1.4380         *.*                    LISTEN   
tcp4       0      0  127.0.0.1.4370         *.*                    LISTEN   
tcp4       0      0  *.88                   *.*                    LISTEN   
tcp6       0      0  *.88                   *.*                    LISTEN   
tcp4       0      0  *.22                   *.*                    LISTEN   
tcp6       0      0  *.22                   *.*                    LISTEN   
tcp4       0      0  *.445                  *.*                    LISTEN   
tcp6       0      0  *.445                  *.*                    LISTEN   
tcp4       0      0  *.5900                 *.*                    LISTEN   
tcp6       0      0  *.5900                 *.*                    LISTEN

und damit auch die Ports auflistet, auf denen von außen kommenden Verbindungen gelauscht wird. Darum eigenet sich eben netstat für die hier aufkommende Diskussion und nicht lsof.

 

[lisanet]

Ich hab da nur zwei Ports die wie von dir beschrieben anfangen.

Aber im fremden Netz muss man dann doch noch die Firewall einschalten?

Wenn du die Dienste nutzt, die auf diesen Ports lauschen, dann bringt Firewall einschalten nichts, weil du dann eben die Dienste blockierst. Willst du hingegen die Dienste nicht nutzen, dann schalte sie halt ab. Eine Firewall brauchst du auch in diesem Fall nicht.

 

[asg]

Firewall: Alles verbieten und nur das erlauben, öffnen, was man braucht. Ich frage mich warum dieser Ansatz sinnvoll ist... aber nach den Meinungen von manchen braucht es ja eigentlich niemals eine FW, so könnte man den Eindruck gewinnen...

 

[maba_de]

ja, das ist mir schon klar, dennoch ...
ergibt bei mir (mit xxx habe ich meinen Accountnamen) ersetzt
...
also allesamt nur Ports auf denen lokal, also _nicht_ für Verbindungen von außen, gelauscht wird. Wohingegen

netstat -an | grep LISTEN

folgendes ergibt:
...
und damit auch die Ports auflistet, auf denen von außen kommenden Verbindungen gelauscht wird. Darum eigenet sich eben netstat für die hier aufkommende Diskussion und nicht lsof.

bei mir kommt bei lsof -i noch hinzu:

Dropbox    420 user   48u  IPv4 0x7638ad5d04e28f0f      0t0  TCP *:17500 (LISTEN)

Also sieht man auch über lsof, welche Anwendungen auf welchen Ports von extern lauschen.

Starte ich jetzt noch iTunes, sehe ich auch das:

iTunes    4953 user   47u  IPv4 0x7638ad5d0e9b20af      0t0  TCP *:51621 (LISTEN)
iTunes    4953 user   50u  IPv4 0x7638ad5d0a82cd6f      0t0  TCP *:daap (LISTEN)
iTunes    4953 user   51u  IPv6 0x7638ad5d169b922f      0t0  TCP *:daap (LISTEN)

 

[Kaito]

also allesamt nur Ports auf denen lokal, also _nicht_ für Verbindungen von außen, gelauscht wird. Wohingegen

Nope, so ist das bei mir nicht. Meine lsof Ausgabe ist praktisch

netstat -an | grep LISTEN | grep -v 127.0.0.1

Abzüglich der imo vielsagenderen Formatierung von lsof, versteht sich.

tcp4  0  0  *.50089  *.*  LISTEN

liest sich einfach schlechter als

EyeTV  484 Julian  30u  IPv4 0xb4743cdd9da65159  0t0  TCP *:50089 (LISTEN)

 

[lisanet]

Firewall: Alles verbieten und nur das erlauben, öffnen, was man braucht. Ich frage mich warum dieser Ansatz sinnvoll ist... aber nach den Meinungen von manchen braucht es ja eigentlich niemals eine FW, so könnte man den Eindruck gewinnen...

Darum geht's doch gar nicht. Zumindest mir nicht und auch der TE hat wegen der in OS X enthaltenen Firewall gefragt. Und die läuft nun mal auf dem gleichen System wie die Dienste und blockiert eben nicht ausgehende Verbindungen, sondern nur eingehende. Und diese Firewall macht IMO wirklich wenig Sinn. Entweder du willst den Dienst, dann muss der Port halt erreichbar sein, oder du willst keinen Dienst, dann deaktiviere ihn. In beiden Fällen brauchst du keine Firewall (eine die auf dem System läuft, auf dem die Dienste sind, wie die in OS X)

 

[doubleh]

Wenn du die Dienste nutzt, die auf diesen Ports lauschen, dann bringt Firewall einschalten nichts, weil du dann eben die Dienste blockierst. Willst du hingegen die Dienste nicht nutzen, dann schalte sie halt ab. Eine Firewall brauchst du auch in diesem Fall nicht.

Also ich habe nur Chrome auf dem Laptop, also Port 80 und 443 brauche ich.

So lange Apple da nicht irgendwas im Hintergrund macht, ist alles okey. Aber Apple checkt ja zb selbst nach Updates, darüber könnte mir doch jemand im fremden Netz Schaden anrichten oder geht das über ssl!?

 

[Kaito]

Also ich habe nur Chrome auf dem Laptop, also Port 80 und 443 brauche ich.

Brauchst du nicht.

 

[Boogaboo]

Ich hole diesen alten Faden mal aus der Versenkung, weil ich mir auch gerade diese Frage stelle. Nach einem Cleaninstall habe ich bemerkt, dass die Firewall auf meinem iMac deaktiviert ist. Das gleiche auf dem Macbook. Ich frage mich, ob ich das jetzt so lasse oder ob ich sie doch anmachen sollte...
Aktuell würde ich dazu tendieren die MacOS Firewalldeaktiviert zu lassen, weil ich ja hinter einem Router hänge...?! Aber irgendwie fühlt mansich ja nie gut, wenn ein Sicherheits-Feature deaktiviert ist.

 

[agrajag]

Die wichtigen Argumente wurden hier doch schon lang und breit geschrieben. Kurz: du brauchst du diese FW nicht aktivieren, weil mit großer Wahrscheinlichkeit unnütz.