Firewall OS X - Was kann sie wirklich?

[SirSalomon]

Hab ich jetzt was verpast? Ich hätte von Dir ja mit jeder Antwort gerechnet, aber das verschlägt mir irgendwie ein wenig die Sprache...

Wie, Du verläßt uns? wenn's genehm ist, bitte ich Dich mal um Aufklärung

 

[Hairfeti]

Das meine ich ja ...

Man schreibt sich die Finger wund ... und keiner vesteht irgend was.

Man macht einen Witz und keiner lacht drüber.

Andere haben nichts anderes zu tun als eine Seite 700 Mal aufzurufen, da ja die Hits sowieso nicht zählen sondern nur die Beiträge.

Eine FAQ will niemand schreiben weil jeder Angst hat er bekäme sie nicht vollständig ...

Also mit was für Freaks habe ich es hier überhaupt zu tun?

Das ist ja schlimmer wie der Turnbeutel an der Schulmappe in der großen Pause auf dem Schulhof wenn man wieder Knäckebrot mit Leberwurst drauf hat.

 

[flobli]

Original geschrieben von Hairfeti
Das ist ja schlimmer wie der Turnbeutel an der Schulmappe in der großen Pause auf dem Schulhof wenn man wieder Knäckebrot mit Leberwurst drauf hat.

 
@Hairfeti: Hmm... das gute alte Leberwurstknäcke

Original geschrieben von echt0711
… genauso ist es denkbar daß Firmen, denen wir nicht vertrauen (Adobe, Microsoft und mittlerweile manchmal auch Apple)

 
@echt0711: Kein Kommentar!

Oder doch! Generell verbietet die Firewall, richtige Konfiguration vorausgesetzt, dass von Außen Informationen über diverse Ports an deinen Computer rankommen. Aber der umgekehrte Weg ist im ersten Moment uneingeschränkt möglich. So weit waren wir ja schon längst.
Aber es ist möglich, deinem Computer die Kommunikation mit bestimmten Rechnern, die bestimmte Aufgaben haben (z.B. deine Neuregistrierung des Programmes xy) zu verbieten. Es wird eine Sperre für ausgehende Informationen an eine bestimmte IP gehängt. Meine im Router integrierte Firewall kann sowas, beispielsweise. Es ist aber auch möglich, die Dateien, die mit der Software-Firma bei Internet-Konektion Kontakt aufnehmen soll, zu suchen und zu löschen. Dann ist man in dieser Hinsicht safe…

Ich denke aber, dieses doch etwas delikate Thema zu vertiefen ist nicht angebracht. Es sprengt doch den Sinn dieses Forums. Sollte nur mal so eine Info sein, um zu sagen: "Man könnte da doch was machen, um den ungewollten Info-Fluß nach Außen zu hemmen…"

Original geschrieben von SirSalomon
Du möchtest uns damit doch nicht etwa sagen, dass das eine Herausforderung für Dich ist, oder?

 
@SirSalomon: Nein, das nicht gerade. Aber der Gedanke daran läßt mich erstarren und unfähig wirken !

Grüße
Flo

 

[asg]

Original geschrieben von echt0711
Um die IPFW geht es doch schon die ganze Zeit ;-)
Ohne jetzt missverstanden werden zu wollen - es empfiehlt sich, erst zu lesen und dann zu posten!

Ja, ich bin ein schlampiger Leser, ich gebe es ja zu....
In wie weit IPFW von FreeBSD aber übernommen wurde ist steht hier nirgends, oder habe ich das nun auch überlesen?

 

[Grady]

Original geschrieben von Hairfeti
Das meine ich ja ...

Man schreibt sich die Finger wund ... und keiner vesteht irgend was.

Man macht einen Witz und keiner lacht drüber.

Tja, so ist das Leben...

Eine FAQ will niemand schreiben weil jeder Angst hat er bekäme sie nicht vollständig ...

Also mit was für Freaks habe ich es hier überhaupt zu tun?

1. Verallgemeinerung und Unterstellung. Ich habe z.B. keine Angst, das zu machen. Es ist eine rein zeitliche Angelegenheit. Denn eine unvollständige FAQ bringt auch nicht viel weiter, sie verwirrt eher.

2. MacFreakz
Scherz beiseite, in diesem Forum sind die normalsten Leute, die es aber zum größsten Teil verstehen, ordentlich miteinander zu diskutieren und nicht einfach so zu flamen. Mag sein, dass du etwas ganz Besonders bist, aber deswegen ist der Rest nicht schlecht oder so in der Art.
Mann, jetzt fange ich auch schon an mit dem Kram. In einer Forumsdiskussion sollte man Dinge wie Unterstellungen, Verallgemeinerungen oder Angriffe auf persönliche Befindlichkeiten sein lassen. Das hattest du doch schon weiter oben selbst erkannt!

 

[Woulion]

FAQs

Hi Folks

FAQs sind immer ein schwieriges Thema. Ich habe auch schon verschiedene Anläufe genommen, mehr FAQs zu produzieren, aber meist scheitert es an mangelnder Zeit oder an zu wenig response der Community.

In diesen Fall scheint es mir aber schwierig, aus dem Beitrag eine FAQ zu basteln, da mir das Ergebnis nicht eindeutig genug ist. Also schlage ich einen Kompromiss vor: Ich bitte macuser, den Beitrag in diesem Forum an die Spitze der beiträge zu setzen, und setze einen Verweis in FAQ-Forum auf diesen Beitrag, der dann gleichzeitig zur Diskussion der offenen Fragen dient.

Ich hoffe, ihr seid mit dieser Vorgehensweise einverstanden.

Woulion

 

[asg]

Original geschrieben von SirSalomon
Nein, das Prinziep Firewall beinhaltet "nur" das verhindern von Zugriffen die auf eine IP - Adresse basieren.

Glücklicherweise spricht man von Firewall-Konzepten und nicht nur von der Firewall. Wie ich schon schrieb, die FW ist ein Teil dieses Konzepts.

Wenn Du jedoch ein Sicherheitssystem aufbauen möchtest, ist eine Firewall wie sie im OS X eingebunden ist, noch lange nicht das non plus Ultra.

Sicherlich nicht, wer das glaubt ist nicht paranoid genug ;-).

Sie basierd rein auf IP - Adressen und drei Grundregeln.
Akzeptieren - Verweigern - Weiterleiten
Erst eine kombination verschiedener Grundregeln machen ein solches System recht sicher.

"Recht sicher" ist ein schwammiger Begriff der wohl nicht gerade in einem Atemzug mit "Security" genannt werden sollte.
Ich kenne die genaue Implementierung von IPFW nicht, ist es aber die gleiche wie sie unter FreeBSD zu finden ist, dann ist das schon sehr sehr anständig.
Was die Grundregeln angeht, so muss immer der Mittelweg zwischen Sicherheit und Bedienbarkeit gefunden werden. Was bringt mir ein
"ipfw add deny ip from any to any" wenn ich dadurch nicht mehr ins Netz komme.
Also einige Dienste freischalten, die dann wieder, wegen evtl. Lücken in diesen Diensten, als Tor in das System genutz werden können.
Schon ist die FW passé und wer sich nur auf diese verlassen hat schaut etwas dumm aus der Wäsche. Andere Szenarien sind denkbar.
In wie weit es securitylevels unter MacOSX gibt weiss ich nicht, da ich mein iBook noch nicht habe, damit ist es aber möglich das selbst "root" die Dateien nicht mehr verändern/löschen kann. Interessant anzusehen wie sich ein Hacker an der history Datei der Shell die Zähne ausbeisst diese zu löschen oder nach /dev/null umzuleiten.
Andere Sicherheitsaspekte können je nach Paranoia eingefügt werden.

Und dennoch, ist das System erst mal gehackt, wer kann da mit Bestimmtheit sagen das auch wirklich kein Trojaner am werkeln ist, das nicht die eine oder andere binary vertauscht wurde....

Aber das geht nun alles zu weit.
Will sagen, es handelt sich immer um ein Konzept was hinter einer FW steckt.

Aber spätestens wenn es um's sniffern geht, ist die IP - Firewall überfordert. Das geschieht im normalfall auf der Basis von MAC - Adressen und genau die werden ignoriert.

Daher muss man auch von einem "Firewall-Konzept" sprechen, was mehr ist als die eigentliche FW.
IPFW2 kann nach MAC Adressen filtern, laut man page zu ipfw.
Aber ich weiss nicht in wie weit, ich wiederhole mich ;-), ipfw von FreeBSD implementiert wurde...

 

[SirSalomon]

@hairfeti

Wusstest Du, dass der Mensch nur o lesen kann wie es geschrieben steht?

Ich will dir damit sagen, dass ich kaum einen Lacher bei Dir fand, weil du völlig Ernst und ohne ein "Smile" zu verwenden geschrieben hast.

Was wundert Dich da, dass keiner reagiert?

Aber zurück zur Firewall, das ist hier ja das Ausschlag gebende Thema

IPFW hat einen ganz großen Nachteil, deswegen ist es seinerzeit auch komplett überarbeitet und in den Linux - Kernel eingebunden worden.
Es arbeitet als Teil des Betriebssystem, aber nach dem Kernel. Somit ist erst einmal eine "Lücke" entstanden, die bei einigen Linux - Datenbnaksystem für unruhe gesorgt hat. Sie wurden geknackt, weil das Regelwerk erst zu spät gegriffen hat. Da war der Trojaner schon durch und hate eine establish - Verbindung aufgebaut.

Ich für meinen Teil würde mir Leidenschaftlich gerne eine implementierung von IPTABLE in den MACH - Kernel wünschen. Auf meiner Internetseite findet sich dafür ein Script, dass ein System schon ganz gut absichert und dem User dennoch vollen Internet - Spass gönnt.

Es gibt Menschen, die gehen mit IPFW schlafen, vielleicht findet sich einer, der mein Script an das von IPFW anpasst. Auch wenn dort einige Einsparungen gemacht werden müsse, soviel weiss ich schon

@asg

Du hast natürlich Recht, wenn Du von einem Firewallkonzept sprichst, hilft eine IP - Firewall garnichts. Ich habe mal ein System installiert, dass aus zwei getrennten Firewall - Systemen bestand, die eine war nur für IP - Paketfilter da, die andere hat sich um den kläglichen Rest gekümmert. Und damit war das System dan noch nicht fertig. Weiterhin wurde ein Virus - server implementiert, der sämtlichen Datenverkehr überwacht hat. Selbst ein simples Mailverschicken war nicht direkt möglich, sondern nur an einen Mail - Server, der zwischen den Firewall - Rechnern stand.

Das Prinziep der DMZ ist für viele in diesem Zusammenhang das richtige Stichwort. MS treibt das sogar noch etwas weiter und sichert Systeme hinter der DMZ mit einer weiteren Firewall ab.

Man kann schon einen Grad des Schwachsinn erreichen, wenn man versucht ein "sicheres" System zu bekommen.

Ein Grundsatz habe ich mir gemacht, der mir bisher gut über die runden geholfen hat:

Ein System ist nur so sicher wie man sich fühlt.

Wenn ich der Meinung bin nichts verhindern zu müssen, brauche ich mich um die Datensicherheit nicht zu kümmern. Klar, ich darf mir dann auch keine Vorwürfe machen, dass mein Rechner vielleicht nicht das macht, was ich gerne möchte.

Warum soll ich einen Virenscanner haben, wenn ich keine Daten schützen will? Zumal das Thema Virenscanner auch nciht gerade klein und unbedeutend ist. Wie gut ist ein Virenscnner, wenn er nie zum Einsatz kommt?

So, genug der Gedankenanstöße. Weiter im Tagesgeschäft

Ich für meinen Teil finde diese Unterhaltung sehr interessant und ich freue mich auf jede Benachrichtigung, dass ein neuer Beitrag geschrieben wurde

 

[asg]

@SirSalomon
Was genau stört Dich denn an IPFW?
Zumindest glaube ich herauszuhören das Dir da irgendwas sauer aufstösst.
Ich für meinen Teil finde IPFW leicht verständlich, und als FW sehr gut zu gebrauchen, ein wirkliches Problem, was nicht auch andere FWs haben, sehe ich nicht.
Zumal IPFW2 auch einige neue Features hat, ABER nochmals, ich weiss immer noch nicht in wie weit das in MacOS X von FreeBSD möglicherweise implementiert worden ist.

Interessant ist auch sicher PF von OpenBSD, leider noch nicht 100% für FBSD zu haben.

Wenn es sich bei MacOSX IPFW um das gleiche wie bei FBSD handeln sollte, dann ist dies als sehr gut zu bezeichnen (je nachdem in wie weit Apple da rumgebohrt hat...).

 

[usr]

Nukle,
wie soll sich ein Paketfilter dem Angreifer anpassen? Ich würde mal sagen, dass du von einem IDS sprichst. Die Implementierung von OpenBSD kenne ich allerdings nicht.
Und wieso diverse Proxies auf OpenBSD Basis und dann plötzlich ein Paketfilter, der alles kann? Paketfilter + Proxies sollte für zu Hause reichen.
Zu der Aussage, OpenBSD hätte den besten Paketfilter: iptables ist schon überlegen. Wenn man etwas "in the box" will, dann nimmt man gleich ne Watchguard, Cisco PIX, Netscreen usw. Für den Heimbereich absolut ausreichend: Linux Kiste, iptables, nen paar Proxies (wenn man sie braucht). Ansonsten sehe ich keinen Grund, meine Linux Kiste gegen eine mit OpenBSD zu tauschen. Ok, PF ist einfacher als iptables.

 

[-Nuke-]

Original geschrieben von usr
Ansonsten sehe ich keinen Grund, meine Linux Kiste gegen eine mit OpenBSD zu tauschen. Ok, PF ist einfacher als iptables.

???

OpenBSD wird von Grund auf so entwickelt, das es möglichst keine Sicherheitslücken hat. Eine bekannte äußere Sicherheitslücke (Remote Hole) innerhalb von 7 Jahren spricht dafür. Auch die Liste der restlichen Sicherheitslücken (lokale) ist extrem kürzer als die von Linux. Deswegen ist OpenBSD auch noch nicht so weit fortgeschritten wie die anderen Systeme (kein SMP, alte Versionen von Software).

Deinen Satz "PF ist einfacher als iptables" verstehe ich nicht. Soll PF die Abkürzung für Paketfilter sein? Wenn ja, dann verstehe ich es erst Recht nicht. iptables und ipfw sind beides "nur" Paketfilter.

Ich will jetzt keinen hier von OpenBSD überzeugen. Ist mir doch egal wer was nutzt. Sind ja auch alles verschiedene Entwicklungsziele:

Linux -> neues Desktop/Server-OS als Windows-Konkurrent
FreeBSD -> wie Linux nur auf BSD-Basis
NetBSD -> BSD für viele Plattformen
OpenBSD -> Sicherheit

 

[Lynhirr]

Praktische Fragen

Ich habe die Diskussion hier interessiert gelesen und mich auch rundherum etwas informiert.

Nun habe ich mal zwei ganz praktische Fragen an die hier anwesenden User, die das nötige Fachwissen besitzen:

1. Bei meinen Diensten ist FTP in den Systemeinstellungen aktiviert. Ich habe das nicht gemacht. Ist das Standarteinstellung in OSX Jaguar, oder konnte das von Remote Desktop stammen?

2. Wenn ich die Firewall einschalte funktioniert alles, bis auf den Filetransfer im IRC. Welche Einstellung muss ich vornehmen, um das wieder zu ermöglichen.

Schon mal lieben Dank für Hilfe ...

wavey

Lynhirr

 

[RETRAX]

Re: Praktische Fragen

Original geschrieben von Lynhirr
1. Bei meinen Diensten ist FTP in den Systemeinstellungen aktiviert. Ich habe das nicht gemacht. Ist das Standarteinstellung in OSX Jaguar, oder konnte das von Remote Desktop stammen?
Lynhirr

 

bei mir war standardmässig sowohl unter Jaguar als auch jetzt unter Panther in den Systemeinstellungen / Sharing alles ausgeschaltet.

FTP war und ist aus. (standardmässig nach clean install)


Gruss

RETRAX

 

[aralka]

von mir auch...

ein kräftiges Danke für die kostenlose Fortbildung!!
drumm

aralka clap

 

[Lynhirr]

Testen

Original geschrieben von RETRAX
 

bei mir war standardmässig sowohl unter Jaguar als auch jetzt unter Panther in den Systemeinstellungen / Sharing alles ausgeschaltet.

FTP war und ist aus. (standardmässig nach clean install)

 


Aha, danke. Dann werde ich das mal testen. Ich werde ja sehen, ob Remote Desktop das braucht ...

Wenn ja, müsste ich die Firewall einschalten ...

wavey

Lynhirr

 

[SirSalomon]

Original geschrieben von usr
Für den Heimbereich absolut ausreichend: Linux Kiste, iptables, nen paar Proxies (wenn man sie braucht). Ansonsten sehe ich keinen Grund, meine Linux Kiste gegen eine mit OpenBSD zu tauschen. Ok, PF ist einfacher als iptables.

 

Heimbereich und IPTABLES... ROTFL entschuldige, aber das ist ein wiederspruch in sich. Zumal der wirtschaftliche Faktor leider jedem Linux - System den Tod bescheinigt.

Sicherlich wirst Du mir Recht geben, dass ein Linux - System in der kleinsten Stufe ca. 100 Euro kosten wird. Dabei rechne ich jetzt bei weitem nicht die Zeit mit, die IPTABLES braucht.

Abgesehen von einem "rauschen" der Lüfter hast Du für ca. 80 Euro ein Firewall - System das sogar DoS - Attacken erkennen und abwehren kann. Leider hat IPTABLES nicht das einfache WEB - Interface wie es das "gemeine Volk" gerne hätte. Somit muss der User schon genauer wissen, was warum und wie passiert. Und jeder, der ehrlich ein Firewall - Prinziep unter die Leute bringen will, wird mit Linux nicht mehr weit kommen. Es braucht einfach zu viel Zeit, bis es so läuft wie man es möchte, leider.

Ich bin bei weitem kein Verfechter von IPTABLES in Verbindugn mit Linux. Ganz im Gegenteil, ich habe seiner Zeit mit einem Freund eine Log-File - Auswertung für IPTABLES geschrieben... Es gab Zeiten da bin ich mit IPTABLES schlafen gegangen.

Der große Vorteil gegenüber IPFW ist nicht ganz einfach zu erklären. Es besitzt den Vorteil, dass es Bestandteil vom Kernel ist. Die Vorteile liegen da schon etwas klarer auf der Hand. Jedes System ist im Vorfeld bereits hinreichend geschützt, weil es einfach jedweden Verkehr über dem Netzwerk unterbindet. Das geht bei IPFW nicht, meines Wissens.

 

[SirSalomon]

Re: Praktische Fragen

Original geschrieben von Lynhirr
1. Bei meinen Diensten ist FTP in den Systemeinstellungen aktiviert. Ich habe das nicht gemacht. Ist das Standarteinstellung in OSX Jaguar, oder konnte das von Remote Desktop stammen?

2. Wenn ich die Firewall einschalte funktioniert alles, bis auf den Filetransfer im IRC. Welche Einstellung muss ich vornehmen, um das wieder zu ermöglichen.

 

Zu eins, FTP hat mit RemoteDesktop soviel zutun wie eine Kuh mit dem Eierlegen. Beides sind völlig verschiedene Protokolle und benötigen völlig verschiedene Ports.

Zumal Du bei FTP, als Server, mit DSL schon Probleme bekommen wirst. Zumindest bei IPFW und IPTABLES. DSL bietet nur passiven FTP - Transfer an. Als Client merkst du das nicht, aber als Server wird erst der Port ausgehandelt wo drüber der FTP - transfer stattfinden soll. Nun ist das definitiev nicht 21, wie üblich. Und schon macht sich Deine Firewall in's Hemd, weil der Port der establisht - Verbindugn nciht mehr besteht und geblockt wird.

Zu zwei, soweit ich das weiss (ich bin ja immer wieder lernfähig) baut der File - Transfer bei IRC auf wechselnde Ports auf. Deine Firewall wird das blocken...

Aber wie gesagt, ich kann mich durchaus täuschen...

 

[SirSalomon]

Das eigene System testen...

Für jeden, der vielleicht mal wissen möchte wie gut sein System auf Attacken aus dem Internet reagiert, hier mal ein Link:

Landesamt für Datenschutz - Niedersachsen

Sie bieten unter Service die Möglichkeit einen Selbsttest durch zu führen...

Vielleicht werden einige mit einem Herzanfall sterben, ich entschuldige mich dafür , wenn sie sehen wie offen ihr System eigentlich ist...

In den Grundeinstellungen von Panther geht es eigentlich noch.

 

[gfc]

Original geschrieben von SirSalomon

Abgesehen von einem "rauschen" der Lüfter hast Du für ca. 80 Euro ein Firewall - System das sogar DoS - Attacken erkennen und abwehren kann. Leider hat IPTABLES nicht das einfache WEB - Interface wie es das "gemeine Volk" gerne hätte. Somit muss der User schon genauer wissen, was warum und wie passiert. Und jeder, der ehrlich ein Firewall - Prinziep unter die Leute bringen will, wird mit Linux nicht mehr weit kommen. Es braucht einfach zu viel Zeit, bis es so läuft wie man es möchte, leider.

 

Blablabla..

was is z.b. mit Suse Firewall2 ?
was ist mit http://www.fwbuilder.org/

etc.

Die liste könnt ich auf ca 20 Einträge verlängern, die alle GUIs und weboberflächen symbolisieren, in dem sich herr und Frau DAU eine Firewall zusammenbasteln können...

Das aber eine Standalone FW ruhiger ist, da sind wir uns einig.. aber halt nicht so flexibel..

 

[HangLoose]

moin moin

interessanter thread

Original geschrieben von SirSalomon

IPFW hat einen ganz großen Nachteil, deswegen ist es seinerzeit auch komplett überarbeitet und in den Linux - Kernel eingebunden worden.
Es arbeitet als Teil des Betriebssystem, aber nach dem Kernel. Somit ist erst einmal eine "Lücke" entstanden, die bei einigen Linux - Datenbnaksystem für unruhe gesorgt hat. Sie wurden geknackt, weil das Regelwerk erst zu spät gegriffen hat. Da war der Trojaner schon durch und hate eine establish - Verbindung aufgebaut.

 

IPFW gab es für linux, wäre mir neu. kann es sein, das du das mit ipchains verwechselst?
im übrigen ist es aus meiner sicht eher ein riesenvorteil, wenn der paketfilter im kernelspace läuft und nicht wie die *windows firewalls* im userspace. für einen geschickten angreifer dürfte es nicht so schwer sein eine *firewall* ala zonealarm etc. auszuknipsen oder zu umgehen.
bei einem paketfilter der im kernelspace läuft, dürfte das schon wesentlich schwieriger sein.


noch ein paar worte zu paketfiltern, sicherheit etc. wie ich es sehe

ein paketfilter, wie z.b. iptables, ist erstmal halt nur ein paketfilter, der anhand von protokoll, port, ip's etc. entscheidet, ob ein paket passieren darf oder nicht. von haus aus ist ein paketfilter erstmal nicht in der lage, in die pakete *reinzuschauen* und quasi nach inhalt zu filtern. obwohl es imho für iptables mittlerweile einen patch gibt, der auch dieses ermöglicht. wie das bei anderen paketfiltern wie pf, ipfw etc. aussieht, weiß ich jetzt nicht.
wenn sowas gewünscht wird, würde ich aber eher zu einem entsprechenden proxy raten.


das wichtigste beim thema sicherheit ist meiner meinung nach aber, das eventuell angebotene dienste, sauber konfiguriert werden, das nicht benötigte dienste abgeschaltet werden und das bei eventuell auftauchenden sicherheitslöchern zügig gehandelt wird. provokativ könnte man sagen, das bei sauber konfugurierten diensten und wenn auch wirklich nur dienste laufen die auch laufen sollen, auf einen paketfilter sogar ganz verzichtet werden kann.

für die paranoiden unter uns gibt es dann noch so nette sachen wie ein IDS etc.

just my 2 cent

Gruß HL