Firewall OS X - Was kann sie wirklich?

Re: Das eigene System testen...

Original geschrieben von SirSalomon

Vielleicht werden einige mit einem Herzanfall sterben, ich entschuldige mich dafür :D, wenn sie sehen wie offen ihr System eigentlich ist...

In den Grundeinstellungen von Panther geht es eigentlich noch.
Zum Vergrößern anklicken....

Und was zeigt der großartig "gefährliches" an?

Find ich genauso affig wie solche sachen wie:

Ihr Auflösung beträgt soundso und ihr Browser ist derundder. Auf ihrem Laufwerk befinden sich dieunddie Daten.

Ist doch blödsinn. Ist zwar nett das die mir meine Daten anzeigen, nur leider kann nur ich die sehen. Die sehen davon nix.
 
Re: Re: Praktische Fragen

hi

Original geschrieben von SirSalomon

Zumal Du bei FTP, als Server, mit DSL schon Probleme bekommen wirst. Zumindest bei IPFW und IPTABLES. DSL bietet nur passiven FTP - Transfer an. Als Client merkst du das nicht, aber als Server wird erst der Port ausgehandelt wo drüber der FTP - transfer stattfinden soll. Nun ist das definitiev nicht 21, wie üblich. Und schon macht sich Deine Firewall in's Hemd, weil der Port der establisht - Verbindugn nciht mehr besteht und geblockt wird.
Zum Vergrößern anklicken....

wie kommst du denn auf das schmale brett, das mit dsl kein *aktiver* ftp-server möglich ist? ;)
das ist erstmal mal nur eine reine servereinstellungs sache. wo ich dir aber recht gebe, ist das es früher nicht so einfach war einen aktiven ftp server abzusichern, da die data connection über *nicht vorhersehbare* high ports lief. seit iptables mit connection tracking(stichwort related) ist auch das kein problem mehr.
im allgemeinen werden heutzutage aber passive ftp server eingesetzt.

edit: argh, jetzt hab ich passiv und aktiv schon wieder durcheinander gewürfelt . also aktiv läuft über die ports 20 und 21(data connection) und beim passiven war es 21 + highport

Gruß HL
 
Original geschrieben von gfc
was is z.b. mit Suse Firewall2 ?
Was ist mit http://www.harry.homelinux.org/
was ist mit http://www.fwbuilder.org/

etc.

Die liste könnt ich auf ca 20 Einträge verlängern, die alle GUIs und weboberflächen symbolisieren, in dem sich herr und Frau DAU eine Firewall zusammenbasteln können...

Das aber eine Standalone FW ruhiger ist, da sind wir uns einig.. aber halt nicht so flexibel..
Zum Vergrößern anklicken....

SuSE Firewall2 ist nichts anderes wie IPTABLES für "Arme"... Nicht mal im ansatz ein Frontend wie man es eigendlich erwarten dürfte...

Ausserdem bezweifel ich, dass Herr oder Frau DAU auch nur im Ansatz weiss, was oder wie sie eine Firewall einrichten. Geschweige denn, wie eine Firewall arbeitet. Alles zusammen gibt einem das Wissen rund um die Firewall.

Herr und Frau DAU wird sich zum anderen kaum an Linux ran wagen, warum auch immer. Diese Zielgruppe sollte sich ehr auf Norton - Produkte oder ähnliches konzentrieren...
 
Original geschrieben von SirSalomon

SuSE Firewall2 ist nichts anderes wie IPTABLES für "Arme"... Nicht mal im ansatz ein Frontend wie man es eigendlich erwarten dürfte...
Zum Vergrößern anklicken....

WAS erwartest du den von frontend? oder besser gefragt: Bring mir ein beispiel, das Suse's GUI nicht handelt...
 
Antworten

Original geschrieben von SirSalomon

Zu eins, FTP hat mit RemoteDesktop soviel zutun wie eine Kuh mit dem Eierlegen. Beides sind völlig verschiedene Protokolle und benötigen völlig verschiedene Ports.

Zu zwei, soweit ich das weiss (ich bin ja immer wieder lernfähig) baut der File - Transfer bei IRC auf wechselnde Ports auf. Deine Firewall wird das blocken...
Zum Vergrößern anklicken....
Zu eins: Danke für die klare Antwort. Nur spiele ich unter Remote Desktop Software auf den Remote-Mac. Und das braucht dazu auch kein FTP?


Zu zwei: Und da gibt es keine Möglichkeit, der Firewall das beizubringen?

wavey

Lynhirr
 
Re: Antworten

Original geschrieben von Lynhirr

Zu eins: Danke für die klare Antwort. Nur spiele ich unter Remote Desktop Software auf den Remote-Mac. Und das braucht dazu auch kein FTP?


Zu zwei: Und da gibt es keine Möglichkeit, der Firewall das beizubringen?

wavey

Lynhirr
Zum Vergrößern anklicken....

wieder zu 1. :D

Nicht unbedingt. Wenn Du RemoteDesktop verwendest, kann es sein, das Du die lokalen Laufwerke als interne Laufwerke anbinden kannst.

Zu zwei. IRC ist ein Multiprotokoll - Programm. Entweder gibst Du die Ports frei, die für den IRC nötig sind, oder Du verwendest das s.g. UPNP...

UPNP bietet die Möglichkeit Ports auf Anforderung frei zu geben und einen "establish - Transport" zu ermöglichen. UPNP ist weithin als Sicherheitslücke bekannt, weil eben keine Kontrolle über die Freigabe der Ports besteht.
 
Original geschrieben von gfc

WAS erwartest du den von frontend? oder besser gefragt: Bring mir ein beispiel, das Suse's GUI nicht handelt...
Zum Vergrößern anklicken....
Hallo? Es geht nicht darum, was SuSE kann oder besser kann...

Ausserdem will ich SuSE nicht schlecht machen, sondern nur etwas kritisieren, bei dem, was es einfach nicht gewährleisten kann...

Meine Erwartungen an einem Frontend sind durchaus so hoch, dass sie eben nicht gedeckt werden können. Abgesehen davon, dass ich ncht meine Erwartungen gedeckt haben will. Aber wenn sich jemand den Schuh anzieht, er habe ein Frontend für DAUs "gestrickt" dann muss er sich auch an den Gedanken gewöhnen, dass der DAU ständig Probleme hat. Eben weil er nicht weiss, was da warum und wie passiert...

Oder kannst Du auf anhieb, ohne nach zu sehen, erklären warum ein passiv FTP hinter einer Firewall nicht funktioniert? Das ist genau das, was einem DAU passiert. Du bist also als Programmierer dafür verantwortlich das ein System vollständig funktioniert, ohne das Du die Anforderung des Nutzer kennst...
 
firewall

Hi,
kennt ihr HENWEN? wäre vieleicht eine ganz sinnvolle ergänzung zum os x firewall, und kostenlos
mfg
 
@kpaul1bln:

Hört sich toll an - featureseitig. Tut aber scheinbar nicht auf Panther..!
 
Original geschrieben von maga
lasse doch einfach nach Aktivierung des Firewalls Deinen Mac mal scannen:
Zum Vergrößern anklicken....
 

Na, geht doch:

Trying to gather information from your web browser...
Operating System = Macintosh PowerPC Mac OS X
Browser = AppleWebKit 103u

Trying to find out your computer name...
Unable to determine your computer name!

Trying to find out what services you are running...
Unable to detect any running services!
 
echt : doch, zuerst henwen starten einstellen( für letterstick) und aktivieren, danach! letterstick starten
mfg
 
Original geschrieben von usr
Mit itpables geht aktives FTP problemlos.
Zum Vergrößern anklicken....
 

Achwas... :D

Wäre ja schlimm wenn nicht. Schließlich ist eine aktive FTP - Sitzung auch nur auf zwei Ports realisiert (20 und 21) und läuft als TCP - verbindugn sogar gesichert.

Es ging aber um passives FTP, wobei der Rechner mit IPTABLES als FTP - Server arbeitet...

Servus, Wolfgang
 
hallo loite,

also jetzt muss ich auch mal meinen Senf dazugeben.

Die Firewall die auf OS X läuft, ist trotz der bunten Knöpfchen zum anklicken eine waschechte ipfw und somit ein ganz alter verschlafener Hund.

Damit kann man bestenfalls ein paar IP Adressen und Ports kontrollieren.

Wie Hairfeti schon gesagt hat, gibt es ganz andere Angriffsmethoden, als nur einen zufällig offenen Port auszunutzen.

Wieviel Sicherheit jeder braucht/möchte ist natürlich ne personliche Sache und auch abhängig von der Umgebung, Erreichbarkeit (Daueronline ??) und Wichtigkeit der Daten, der Notwendigkeit von hoher Verfügbarkeit und, und, und ...

Die ipfw ist für den Standard Internet Surfer sicher nicht schlecht.
Wer aber wirklich Sicherheit braucht, der braucht mit der ipfw wirklich nicht anzutreten.

Mein Vorschlag wäre da:
1. Hardwarefirewall (z.B. SonicWall) unabhängig vom Router (Kosten rund 1800.- Euro plus Updatekosten)
2. DMZ mit dedizierten Server für extern benötigte Dienste
3. regelmäßiges (häufiges) Backup der Daten auf Band (nicht auf internen Server)
4. zweite Firewall nach intern (anderes System als unter 1.), z. B. Lnux-Kiste mit ipchains, besser zweite Hardwarefirewall z. B. von Bintec
5. NAT bzw. PAT unter vermeidung der WellKnown Ports
6. Abschalten aller nicht benötigter Dienste

Falls hochverfügbarkeit erforderlich ist, nur neue Cisco Router verwenden und alle Server in doppelter (oder noch mehrfacher) Ausführung vorhalten (in getrennnten Gebäuden oder zumindest getrennten Räumen).
Server einbruchs- und feuer-/wassersicher verschlossen und klimatisiert an geheimem Ort aufstellen

- ja ich weiss, ich bin paranoide, also: Flammenwerfer stecken lassen :D

man kanns natürlich übertreiben, ist halt ein Unterschied, ob ich meine mühsam programmierte SQL-Adressdatenbank schützen will, oder die Online Brokerage Server der Deutschen Bank.
 
Was sind Hardwarefirewalls? Auf den sogenannten "Hardwarefirewalls" läuft auch nur Software. Wäre ja auch sonst fatal :) Wieso werden hier Paketfilter als Firewall bezeichnet? Eine Firewall ist dein gesamtes Konzept, welches du natürlich auch nur mit einem Paketfilter, Proxy oder was auch immer umsetzen kannst. Für 1800€ gibts ja schon nen nette Pix oder nen Router mit einem aktuellen IOS + FW pack. Für mich reichen die iptables gut aus. Ist einfach billiger, als z.B. ne SonicWall.
 
hallo usr

du hast natürlich im Prinzip völlig recht.
Darum sage ich ja auch, dass es abhängig von persönlichen Einschätzungen und der Umgebung anhängig ist, welcher "Schutzlevel" als ausreichend erachtet wird.
Was sind Hardwarefirewalls
Zum Vergrößern anklicken....
Eine Hardwarefirewall ist in meinen Augen ein kleiner Computer , der (in der Regel ohne Bildschirm) für eine genau definierte Aufgabe - nämlich den Schutz einer Netzwerkumgebung vor unerwünschtem Datenverkehr zwecks maximaler Erhöhung verschiedener Sicherheitsaspekte - entwickelt wurde und der aus genau diesem Grund auch keine anderen Aufgaben zugewiesen bekommt.
Der einzige "Zugang" zu diesem Gerät, dient dessen Konfiguration.
Dieser Zugang stellt auch i. d. R. die größte Schwachstelle dar.

Dass dieser Computer so wie (fast) alle Computer aus Hard- und Softwarekomponenten besteht und eine Betriebssystem benötigt, verbietet m. E. nicht die Verwendung des verbreiteten Begriffs Hardwarefirewall.
Außerdem sind in sog. Hardwarefirewalls Hardwarekomponenten verbaut, die in anderen Computern üblicherweise nicht zum Einsatz kommen und nur der Erkennung oder Abwehr von Angriffen dienen, die einem bekannten Muster folgen.

Ein Router oder ein anderer Computer, ist m. E. keine echte Hardwarefirewall, auch wenn Firewallfunktionen implementiert sind. Selbst dann nicht, wenn diese Funktionen von hoher Qualität sind.
 
Original geschrieben von maceis

Außerdem sind in sog. Hardwarefirewalls Hardwarekomponenten verbaut, die in anderen Computern üblicherweise nicht zum Einsatz kommen und nur der Erkennung oder Abwehr von Angriffen dienen, die einem bekannten Muster folgen.
Zum Vergrößern anklicken....
Was für Komponenten meinst du denn ? Die meisten sog. Hardwarefirewalls die ich kenne (PIX, Nokia, Ben Hur etc...) sind meistens nichts anderes als PC-Hardware oder ein Embedded System, ggfs erweitert mit einem Flash-Speicher oder einem Cryptochip für das VPN. Darauf läuft dann entweder eine gehärtete Version eines Stadardbetriebssystems (meist ein BSD-Derivat) oder komplett selbstgeschnitzte Software. Ich habe noch nie was von spezieller IDS-Hardware gehört, hast du da ein Beispiel ? Das wäre nämlich sehr interessant.
Ciao,
Robert
 
:D

So, jetzt noch schnell "Was ist eine Software-FireWall?", dann wärst du heute mit deinen Pflichten durch. Ohne uns lernen die doch sonst nie was, oder was meinst du?

Bekommen wir die alle noch mal anständig erzogen? Na mal sehen, im Moment siehts ganz gut aus.
 
Original geschrieben von Hairfeti
Ohne uns lernen die doch sonst nie was, oder was meinst du?

Bekommen wir die alle noch mal anständig erzogen?
Zum Vergrößern anklicken....
 

Für wen hältst Du Dich eigentlich?
 
Zurück
Oben Unten