Firewall gesucht

[jlepthien]

Linksys WRT54GL mit DD-WRT Firmware Da steckt 'ne ordentliche SPI-Firewall drin.

Danke für den Tipp. Diese Kombination sollte ich mir mal anschauen

 

[SirSalomon]

Nana, liebe Freunde. So schlimm ist die interne Firewall von OSX nicht. Sie ist "nur" moderat eingestellt. Aber grundsätzlich läßt sich mit ihr auch ausgehender Traffic unterbinden, solange er sich auf einen Port bezieht.

Ein "man ipfw" im terminal bringt die ein oder andere Erkenntnis. Ohne Zweifel ist sie nicht komfortabel, aber mit einem passenden Script ist sie durchaus Leistungsfähig.

 

[RMS-E-FNF]

Firewall/Paketfilter OS X, Windows, FreeBSD, Linux

Hallo,

ich muß mal ein bißchen widersprechen

Die Firewalls in OS X und Windows sind ziemlich gleich.

Nein, gar nicht.

Beide sind nur Paketfilter

Genau genommen sprechen wir hier immer von Paketfiltern. Der Begriff Firewall bezeichnet eigentlich die ganze Struktur, hier z.B. der Rot markierte Teil:
externes Netz <-> Paketfilter <> DMZ (Proxies etc.) <-> Paketfilter <-> internes Netz
Wobei meist ext. und int. Netz nur in die DMZ verbinden können und die DMZ meist nur in das ext. Netz kann. Das ist natürlich alles sehr stark vereinfacht, ein guter Einstieg in das Thema findet sich hier.

und filtern nur eingehende Verbindungen.

Nein, OS X verwendet ipfw2 (wie FreeBSD):

sudo ipfw add 1 deny all from me to any

Das Beipiel verhindert alle ausgehenden Verbindungen (und macht jede Menge Probleme).

Die OS X Firewall ist auch nicht schlechter als eine auf nem Router, da steckt meist auch nur ne Firewall ala iptables hinter, also ist ein Router auch nicht besser...

Genau, viele Router haben 'nen 2.4er Linuxkernel mit iptables. Da proprietäre Betriebssysteme in Routern häufig weniger können als iptables, ist das meist eine gute Wahl.


Viele Grüße
Hinnerk

 

[SelonScience]

Die Firewalls in OS X und Windows sind ziemlich gleich. Beide sind nur Paketfilter und filtern nur eingehende Verbindungen. Da kann man bei OS X nicht von besser sprechen. Die OS X Firewall ist auch nicht schlechter als eine auf nem Router, da steckt meist auch nur ne Firewall ala iptables hinter, also ist ein Router auch nicht besser...

stimmt nicht mehr, die firewall im aktuellen windows vista ist für outgoing und ingoing. Ebenso ist sie STANDARDMÄSSIG eingestalten, im GEGENSATZ zum OSX. Dies halte ich wichtig für daus, die nicht wissen was eine firewall ist.


http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx

 

[RMS-E-FNF]

Hallo,

Ich finde HW-Firewalls immer sicherer, als SW-Firewalls. Auch, wenn es nur Paketfilter sind. Denn es ist meiner Meinung nach schwieriger, auf einem Embedded System was zu knacken, als auf einem PC / Mac, der von seiner Software vielseitiger und offener ist.

Die ersten Router wurden mit Linux bespielt, indem Sicherheitslücken ausgenutzt wurden.

Es kommt darauf an, wie begabt Dein Angreifer ist. Die Toolchain für solche Systeme wird seltener benutzt, weniger getestet und ist jünger (aufgrund wechselnder CPU-Architektur), deshalb hat, wenn wir ein Minimalsystem (Kernel, shell, kaum Gerätetreiber) vergleichen, das ältere System gewisse Vorteile.

Dazu kommt, daß auf den kleinen Kisten immer mehr zusätzliche Software (VoIP, IPSec, OpenVPN, Jabberd, tinc, ...) läuft, ohne daß die Ressource ausreichen, um Schutzmechanismen wie Virtualisierung etc. einzubauen.

Ich bin bei der Schadensanalyse jedenfalls immer wieder erstaunt, wie häufig embedded Systeme (auch Drucker etc.) eine bequeme Schwachstelle für Angreifer darstellen.


Viele Grüße
Hinnerk

 

[RMS-E-FNF]

Am Netzwerk lauschende Prozesse finden

Hallo,

Benötigt ein Mac standardmässig eine Firewall, sprich sind von Anfang an Dienste am Laufen?
Kasei

Es laufen einige Dinge fast immer, z.B. das Zeugs für Bonjour. Du kannst Dir lauschende Prozesse so angucken:

sudo lsof -i -n -P | grep -vi established | grep -v 127.0.0.1

Viele Grüße
Hinnerk

 

[jlepthien]

Hi Hinnerk. Für den Dau filtert die OS X Firewall nur eingehend. Das ipfw auch ausgehend filtern kann, ist mir klar, aber das bekommt Otto-Normal eh nicht hin

Bis zum nächsten MUT in Kiel

 

[Charles_Garage]

Bedeuten "lauschende Prozesse" auch, dass die entsprechenden Ports offen sind oder ist da die Firewall davor?

 

[in2itiv]

...fast jeder router hat doch ne firewall eingebaut, ich versteh nicht worüber hier diskutiert wird ?

 

[RMS-E-FNF]

Hi Radiohead,

ich kann doch bei dem Vergleich Win <-> ipfw2 nicht stillsitzen, schließlich behandle ich das auch bei meinem Vortrag

Mit meiner Regel kann Dau lernen, die Folgen unbedachter Modifikationen abzuschätzen und nach einem Reboot ist die Welt in Ordnung

Bis zum nächsten RL-Treffen!

Viele Grüße
Hinnerk

 

[RMS-E-FNF]

Hallo,

Bedeuten "lauschende Prozesse" auch, dass die entsprechenden Ports offen sind oder ist da die Firewall davor?

am Netzwerk lauschende Prozesse sind vom Paketfilter unabhängig. Der Filter kontrolliert nur, wer von wo nach wo wie Daten übertragen darf.
Am Beispiel:

Wenn Du "Entfernte Anmeldung" (in "Sharing") aktiviert hast, siehst Du mit lsof den "launchd", der auf Port 22 lauscht:

lsof -i -n -P | grep 22 | grep -i listenlaunchd      [...]  TCP *:22 (LISTEN)

Den Port kannst Du dann mit ipfw dichtmachen:

sudo ipfw add 1 deny tcp from any to me 22

Jetzt kannst Du den Port 22 (ssh) nicht mehr erreichen:

ssh localhost
ssh: connect to host localhost port 22: Permission denied

Der Launchd bekommt davon gar nichts mit:

lsof -i -n -P | grep 22 | grep -i listen
launchd [...]  TCP *:22 (LISTEN)

Die Beispielregel kannst Du danach so löschen:

sudo ipfw del 1 deny tcp from any to me 22

Okay?


Viele Grüße
Hinnerk

 

[Charles_Garage]

Toll! Danke Hinnerk. Sehr brauchbar. Auf Kieler ist doch Verlass.

 

[CRen]

Zitat:
Zitat von was dagegen ?
glaub mir: mehr brauchst du nicht, Mac OS X ist nicht Windows, es ist sicher

Worauf gründet dieser Dein Glaube / Deine Annahme??
__________________

Ganz einfach: Viren gibt's nur dort, wo sie sich verbreiten können. Sprich: Windows mit 90% Marktanteil ist ein gutes Viren-Umfeld, Mac OS X nicht. Das ist wie bei Pflanzen: In einem ordentlichen Mischwald stirbt eine Sorte Bäume an einem Virus und keiner merkts. In einer Monokultur stirbt der ganze Wald und alle schreien vom Waldsterben.

Warum sollte sich ein Virenprogrammierer die Mühe machen, einen OS X-Virus zu erstellen und verbreiten, wenn der sich nicht verbreitet? Und wenn der sowieso nur 10% aller Rechner treffen kann? Zudem hat die Windows-Infrastruktur einen Vorteil für Cracker, den OS X nicht hat: Viele Server mit wichtigen Daten laufen auf Windows.

Insofern ist ein OS X-Virus unwahrscheinlich. Zum Thema Firewall bleibt nur, dass die Gefahr hinter einem Router recht gering ist, trotzdem sollte man die System-Firewall immer anschmeissen

 

[RMS-E-FNF]

Hallo,

Ganz einfach: Viren gibt's nur dort, wo sie sich verbreiten können. [...]

OS X-Kisten werden zwar durchaus geknackt, aber Malware gibt es in der freien Wildbahn nicht.

Das liegt daran, daß Malware heutzutage programmiert wird, um damit Geld zu machen. Rechner werden übernommen und dann werden Rechenleistung und Netzwerkbandbreite vermietet. SPAM wird beispielsweise so versandt. Das lohnt sich natürlich nur, wenn mit wenig Aufwand wirklich viele Kisten übernommen werden können.

Also nix mit "Viren wie in der Biologie", sondern einfach "Masse macht Moneten".

Marcus Ranum hat sich darüber Gedanken gemacht und einen ganz guten Artikel dazu geschrieben.


Viele Grüße
Hinnerk

PS: Im letzten Absatz schreib er Unsinn, den hat er aber in diesem Artikel gleich unter Nr. 1 richtig gestellt.

 

[maceis]

Bedeuten "lauschende Prozesse" auch, dass die entsprechenden Ports offen sind oder ist da die Firewall davor?

"lauschende Prozesse" bedeutet, dass eine Software auf einer Netzwerkschnittstelle unter einem bestimmten Port Daten entgegennimmt.

Ob Daten an diesen Port zugestellt werden dürfen kann durch einen Firewall eingeschränkt oder verboten werden.

Daten ---> Netzwerkkarte ---> Firewall ---> )---> lauschender Prozess

oder

Daten ---> Netzwerkkarte ---> Firewall ---|   )--- lauschender Prozess