Ist die Mac Firewall wirklich sicher?

marcusstiehler

Neues Mitglied
Thread Starter
Mitglied seit
03.04.2008
Beiträge
40
Hallo liebes Forum,

ich möchte die Gelegenheit nutzen, um mal ein paar Dinge in puncto Sicherheit unter Mac OS X anzusprechen.

Ich bin seit Jahren absolut treuer und standhafter Mac-Nutzer, hat nichts mit Religion zu tun, sondern mit meinem Beruf, nur damit hier keine Glaubenskriege ausbrechen...

Nun habe ich bei Heise einen Artikel gelesen, welcher mich etwas beunruhigt hat, weil ich dachte, mein Mac wäre wirklich sicher.

Was könnt ihr mir dazu sagen, muss ich mich jetzt mit Unix auseinandersetzen, speziell mit "ipfw", nur damit ich meinen Mac sicher halte?

Ich würde mich sehr freuen, wenn sich vielleicht auch schon Leute mit dem Thema auseindandergesetzt haben. So sehr ich auch auf Apple vertraue, weil sie meiner Meinung nach gute Arbeit leisten, trotzdem möchte ich wirklich sicher gehen, denn man kann sich heutzutage auf nichts mehr verlassen, leider...


Viele Grüße,
Marcus
 

maconaut

Aktives Mitglied
Mitglied seit
24.08.2004
Beiträge
2.103
Die beste Firewall ist immer die, welche NICHT auf dem Rechner installiert ist, sondern schon vorher eingehende Verbindungsanfragen abblockt. Also z.B. eine Firewall im Router oder auf einem speziell geschützten System, z.B. einem Linuxsystem wie FLI4L ( http://www.fli4l.de/ ).
 

maba_de

Aktives Mitglied
Mitglied seit
15.12.2003
Beiträge
16.475
ich würde sagen, absolute Sicherheit gibt es nicht.

Also hier meine persönlichen Richtlinien:

1. Vor Nutzung eines Computers Gehirn einschalten
2. Betriebssystem und Anwendungen aktuell halten
3. Nur Software aus vertrauenswürdigen Quellen installieren
4. Router einsetzen für Internet, incl. aktuellster Firmware
5. schutzbedürftige Daten verschlüsseln
 

.:timmy

Mitglied
Mitglied seit
28.03.2005
Beiträge
677
Ich halte eine lokale Firewall auch für absolut nutz- und sinnlos
 

marcusstiehler

Neues Mitglied
Thread Starter
Mitglied seit
03.04.2008
Beiträge
40
Die beste Firewall ist immer die, welche NICHT auf dem Rechner installiert ist, sondern schon vorher eingehende Verbindungsanfragen abblockt. Also z.B. eine Firewall im Router oder auf einem speziell geschützten System, z.B. einem Linuxsystem wie FLI4L ( http://www.fli4l.de/ ).
Okay, so etwas ist ja schön und gut, klar habe ich bei einem DSL-Anschluss auch einen Router mit einer Firewall.

Allerdings habe ich ein MacBook und gehe nicht nur zu Hause ins Internet. Ich habe z.B. auch einen USB Surfstick von o2, wie sieht es da mit der Sicherheit aus? Wie sieht es mit der Sicherheit in einem größeren Firmennetzwerk aus?
Wie gesagt, was das angeht, traue ich niemandem...
 

worf

Mitglied
Mitglied seit
06.01.2005
Beiträge
848
Hallo zusammen,

schon mal drüber nachgedacht das es Situationen geben mag wo eine lokale Firewall absolut notwendig sein könnte?

Also ich z.B. würde mit meinem Rechner an keinem HotSpot ohne eine aktive Firewall
online gehen.

Zur Frage des Thread Owners: Man kann nicht pauschal sagen ob/das eine Firewall sicher ist. Das hängt ganz stark davon ab wie man Sie konfiguriert.



Gruß Reinhard
 

worf

Mitglied
Mitglied seit
06.01.2005
Beiträge
848
Allerdings habe ich ein MacBook und gehe nicht nur zu Hause ins Internet. Ich habe z.B. auch einen USB Surfstick von o2, wie sieht es da mit der Sicherheit aus? Wie sieht es mit der Sicherheit in einem größeren Firmennetzwerk aus?
Wie gesagt, was das angeht, traue ich niemandem...
#

Wenn du da quasi nur dir selber traust bleibt dir wohl nichts anderes übrig als
dich mit der ipfw2 vom OSX und den von dir genutzen Pürotokollen zu beschäftigen.

Die neue GUI FW halte ich für nicht sonderlich sicher.

Gruß Reinhard
 

maba_de

Aktives Mitglied
Mitglied seit
15.12.2003
Beiträge
16.475
ganz interessant in diesem Zusammenhang:

ulm.ccc.de/PersonalFirewalls
 

nicknolte

Aktives Mitglied
Mitglied seit
24.02.2008
Beiträge
3.872
Maba_de hat die wichtigsten Voraussetzungen ja schon genannt. Hirn vor dem Mac einschalten. Dann klappt es schon...

Die wichtigste Aufgabe einer Firewall ist es, ungebetenen Gästen Zugang zu verwehren. Das bedeutet vor allem, dass sie lokale Dienste vor Zugriffen aus potentiell feindlichen Netzen wie dem Internet oder Funknetzen abschottet.
Wenn man wie die meisten hinter einem Router hängt und der keine Weiterleitungen eingerichtet hat, kommt schon mal niemand auf das System. Sehr gute Router haben zusätzlich eine integrierte Firewall mit der man ein- und ausgehenden Verkehr regeln kann. Ist man mit einem MB in anderen Netzen unterwegs, sollte man sich gut überlegen welche Dienste man einschaltet und was man freigibt. Ich nutze daher Freigaben nur wenn ich sie gerade benötige.

Die integrierte Firewall "IPFW" hat nur Vorteile wenn man sie zu bedienen weis. Tips für den richtigen Umgang mit einer Firewall unter OSX gibt es von Maceis. http://www.chaos-net.de/firewall/ipfw-1.html

Von der Verwendung von Modems kann ich nur abraten, da der Mac sonst direkt mit dem Internet verbunden ist. Wer keine andere Wahl sollte die integrierte FW verwenden. Zur Pflege der IPFW gibt es das Tool Waterroof.

Grüße
 

worf

Mitglied
Mitglied seit
06.01.2005
Beiträge
848
Hmm Die ipfw2 würde ich allerdings nicht unbedingt als personal FW ansehen da ihre Funktionalität direkt im Kernel integriert ist.

Somit gibt es schon mal nicht die Schwäche das der Angreifer versuchen kann die Firewall bzw. deren Process im Userspacezum Absturz zu bringen um Zugriff aufs System zu erhalten.


Gruß Reinhard
 

lalipuna

Mitglied
Mitglied seit
14.10.2006
Beiträge
67
Die beste Firewall ist immer die, welche NICHT auf dem Rechner installiert ist, sondern schon vorher eingehende Verbindungsanfragen abblockt. Also z.B. eine Firewall im Router oder auf einem speziell geschützten System, z.B. einem Linuxsystem wie FLI4L ( http://www.fli4l.de/ ).
Wie sieht es denn da eigentlich mit der Time Capsule aus??Ist deren FW "sicher" genug?
 

nicknolte

Aktives Mitglied
Mitglied seit
24.02.2008
Beiträge
3.872
Wenn Du keine Weiterleitung einrichtest ist jeder Router sicher, da nichts in dein Netz weitergeleitet werden kann.

Grüße
 

marcusstiehler

Neues Mitglied
Thread Starter
Mitglied seit
03.04.2008
Beiträge
40
Vielen Dank für die vielen Antworten!

Es ist schon mal gut zu sehen, dass Apple nachgebessert hat, trotz allem werde ich mich mal mit ipfw beschäftigen, kann ja nicht schaden...

Auch vielen Dank für die Links und Tipps, ich sehe schon, das Ganze ist auch beim Mac ein heißes Blech, also ist es auch gut, mal über gewisse Dinge zu diskutieren!

Viele Grüße,
Marcus
 

Darii

Aktives Mitglied
Mitglied seit
24.02.2004
Beiträge
2.088
Hmm Die ipfw2 würde ich allerdings nicht unbedingt als personal FW ansehen da ihre Funktionalität direkt im Kernel integriert ist.

Somit gibt es schon mal nicht die Schwäche das der Angreifer versuchen kann die Firewall bzw. deren Process im Userspacezum Absturz zu bringen um Zugriff aufs System zu erhalten.
Und Prozesse im Kernel kann man nicht zum Absturz bringen? ;)
 

worf

Mitglied
Mitglied seit
06.01.2005
Beiträge
848
nunja Prozesse im Kernel ????

Soweit ich das beurteilen kann gibt es maximal Module aber keine prozesse im Kernel
Die Aktivitätsanzeige bestätigt mich da auch in der hirarchischen Ansicht aller Prozesse gibt es unterhalb vom kernel_task keine Hirarchien :)

Das würde meiner meinung nach wenn dann zu einer KernelPanik führen.
Und damit dürfte der Komplette Rechner direkt seinen Dienst einstellen.

Ok DOS Attacken wären damit erfolgreich aber die Daten dürften weiterhin save sein.

Zumindest würde ich das so erwarten. Wenn ich da falsch liege korrigiere mich bitte einer.

Gruß Reinhard
 

KaiAmMac

Aktives Mitglied
Mitglied seit
04.06.2008
Beiträge
6.995
Hallo,

da mich dieses Thema grundsätzlich auch interessiert.:

Woran sehe ich, ob bei meiner TimeCampsule die Weiterleitung nicht aktiviert ist ? NAT / NAT PortMappingProtokoll ?

KaiAmMac
 

Einherjar

Mitglied
Mitglied seit
17.05.2008
Beiträge
813
Okay, so etwas ist ja schön und gut, klar habe ich bei einem DSL-Anschluss auch einen Router mit einer Firewall.

Allerdings habe ich ein MacBook und gehe nicht nur zu Hause ins Internet. Ich habe z.B. auch einen USB Surfstick von o2, wie sieht es da mit der Sicherheit aus? Wie sieht es mit der Sicherheit in einem größeren Firmennetzwerk aus?
Wie gesagt, was das angeht, traue ich niemandem...
O2 setzt eine NAT-Lösung ein. Die IP, die Du sendest, ist nicht die, die Du beim Anbieter erhälst. Von außen bist Du also unter der sichtbaren IP nicht erreichbar. Bei o2 teilen sich somit viele Kunden nach außen die gleiche IP-Adresse.
NoobProof ist eine einfache GUI, um die ipfw-Geschichte einzurichten.
Auch wenn es hinter einem Router nicht zwingend notwendig ist, rate ich trotzdem immer die lokale Firewall laufen zu lassen. Man bricht sich damit nichts ab.
In fremden Netzwerken solltest Du den Tarnmodus der OS X Firewall aktivieren.
 

asg

Aktives Mitglied
Mitglied seit
21.10.2003
Beiträge
1.190
Und Prozesse im Kernel kann man nicht zum Absturz bringen? ;)
Wenn dann raucht Dir die ganze Büchse weg, ärgerlich, aber der Angreifer kommt auch nicht an die Daten.
 
Oben