löchrige leopard firewall

das sieht aus wie ein GUI fuer die IPFW. Erfahrung habe ich keine damit. Bei meinem iMac, der hinter einem Router haengt, ist IPFW von Haus aus deaktiviert.
 
Dann werde ich mir wohl doch noch einen Router zulegen... Bei Conrad ab 30 EUR - das geht ja so einigermaßen...
 
below schrieb:
...
Stellt Euch vor, ihr engagiert einen Türsteher. Dem sagt ihr:

"Lass niemanden herein!"

Und auf einmal ist Euer Laden halbvoll. Ihr fragt den Türsteher, was das denn sollte, und er sagt: "Die Leute hatten aber Einladungen. Ich hab niemanden herein gelassen. Ausser die, mit Einladungen".
...
Zum Vergrößern anklicken....
Hehehe.
Und der Tarn Modus ist ungefähr so, als würde ich jedes mal wenn die Schwiegermutter an der Tür klingelt, hinrennen und durch die Tür rufen "Wir sind nicht daheim!" :D.
 
benjii schrieb:
@ asg: Ich denke, wir drehen uns im Kreis. Hättest du andere Beiträge von mir hier gelesen, dann wüsstest du, dass ich sehr wohl ebenfalls der Meinung bin, dass die Bedienung der Firewall missverständlich ist und dass sie schlecht dokumentiert ist. Im Übrigen bin ich ebenfalls der Meinung, dass "blockiere alles" eben das bedeuten soll.

Dass das (noch) nicht so ist, ist schlecht, aber es ist kein gigantisches Risiko. Ich bin nicht der Meinung, dass die Leo-Firewall deswegen Würmern wie Sasser Tür und Tor öffnet oder mit ihrem applikationsbasierten Ansatz ähnliche üble Gefahren birgt.

Wenn du einer anderen Meinung bist und eine solche Gefahr siehst, dann gib' den Newbies hier im Forum doch bitte sofort Tipps, was sie machen können, um sich zu schützen – denn manche hier sind, wie du unschwer lesen kannst, sehr besorgt.

Im Übrigen darf ich dich jetzt noch abschließend auf den jüngsten Artikel in der c't verweisen, wo Autor Jürgen Schmidt – endlich - die applikationsbasierte Lösung näher erläutert. Von einem "Leopard in löchriger Rüstung" ist dort nicht mehr die Rede.
Zum Vergrößern anklicken....

Das es eine APP-FW ist, ist mittlerweile ein alter Hut, was ich auch in meinem blog entsprechend erwähnte.
Zu Sasser und Co. es steht nirgends das nun diese "Freunde" kommen oder schon da sind, es wird nur eine parallele aufgezeigt und das ein solches Verhalten nachlässig sein kann.

Und zu dem Punkt das ich Deine Postings nicht gelesen habe, schau an was ich geschrieben habe, ich habe mehrmals erwähnt das dies alles Theorie ist und das man sich nicht in die Hose machen muss.
Praxis ist immer was anderes, aber diese fängt mit der Theorie an.
 
@biomac
Spar Dir das Geld. Wirklich. Es geht hier um reine Theorie, die Praxis ist noch nicht so weit. Du brauchst also keine Sorge zu haben das sich da gleich jemand versucht einzuhacken. Aktiviere kein SSH (entfernte Anmeldung) und kein HTTPD, und sonstiges was Du nicht brauchst. Und wenn wirklich mal nen Trojaner kommt oder Virus, dann bisher auch nur weil der Benutzer einfach alles öffnet was ihm vor die Füsse fällt. Da hilft kein OS der Welt wenn der Anwender unvorsichtig ist (und das ist und bleibt das grösste Risiko).
 
  • Gefällt mir
Reaktionen: bioMac
bioMac schrieb:
Hat jemand von euch denn schonmal Erfahrungen hiermit gemacht:

http://www.apple.com/downloads/macosx/networking_security/doorstopxfirewall.html

Gibt das evtl. zusätzlichen Schutz unter Leopard?
Zum Vergrößern anklicken....

Das ist ein Frontend für IPFW, der Paketfilter von MacOSX (welcher von FreeBSD kommt).

Habe diesen eben mal installiert und schnell durchgeklickt. Die Rules sehen dann im Terminal so aus:
Code: 
05000 allow ip from any to any via lo*
05005 deny log tcp from any to any dst-port 22 in setup
05006 deny log tcp from any to any dst-port 80 in setup
05007 deny log tcp from any to any dst-port 548 in setup
05008 deny log tcp from any to any dst-port 3031 in setup
05009 deny log tcp from any to any dst-port 3689 in setup
05010 deny log tcp from any to any dst-port 5298 in setup
05011 deny log tcp from any to any dst-port 8770 in setup
05012 deny log tcp from any to any dst-port 515 in setup
05013 deny log tcp from any to any dst-port 631 in setup
05014 deny log tcp from any to any dst-port 139 in setup
05015 deny log tcp from any to any dst-port 445 in setup
05016 deny log tcp from any to any dst-port 3283 in setup
05017 deny log tcp from any to any dst-port 5900 in setup
64000 deny log tcp from any to any in setup
65535 allow ip from any to any

Interessant gerade für Anfänger. Da dort Haufenweise Applikationen mit deren Portrange aufgeführt sind und man diese so einfach sperren oder freigeben kann.
 
  • Gefällt mir
Reaktionen: incal
below schrieb:
Wie bist Du denn mit dem Internet verbunden? Direkt?
Zum Vergrößern anklicken....

Ja, bin ich. Ist das sehr kritisch?

@asg:
Danke für die beruhigenden Worte.
Ich halt bloß nigelnagelneuer Mac-User und will nicht gleich alles falsch machen (außerdme dachte ich, dass ich mir bei Mac nicht so wirklich viele Gedanken darum machen müsste - verglichen mit Windows).

Interessant gerade für Anfänger. Da dort Haufenweise Applikationen mit deren Portrange aufgeführt sind und man diese so einfach sperren oder freigeben kann.
Zum Vergrößern anklicken....
Hm... aber kostet natürlich auch wieder Geld... oder wie viel kann die Demo bzw. was für Begrenzungen hat die?
 
@biomac
Du musst Dir auch keine Gedanken machen wie ein Windows User.
Unter Windows gibt es hundertausende von Viren und Trojaner. Mac? Fehlanzeige (bis auf die Dinger die immer noch interaktion des Users voraussetzen). Unter Windows gibt es Botnetze zu hauf, mit dem Mac nicht. Soll heissen, der Windowshobel infiziert sich ohne das ein User etwas davon erfährt.
Nene, das was passieren kann ist, wenn der sshd rennt, das dann bruteforce Attacken kommen. Das ist aber Hintergrundrauschen und ist auf jedem UNIX Server zu finden.

Summa sumarum, der Mac ist sicher, soweit man "sicher" sagen kann. Und im Vergleich zu den Windows-zombies, ach, das will ich nicht Vergleichen, das hinkt vorne und hinten. Also mach Dir keinen Kopp.

Was IPFW angeht, es gibt eine manpage. Oder einfach die Regeln erstellen und kopieren und je nach Umgebung mit einem Shellscript aufrufen. Dann braucht man das Programm auch nicht mehr. Alles halb so wild.
 
@ asg - ich hab's geahnt, dass wir nicht so weit entfernt sind in unserer Meinung. Deine letzten Beiträge kann ich voll unterschreiben.

Gut, dass du praktisch geantwortet hast. Die "theoretischen" Debatten hier verwirren die Newbies und Laien, die konkrete Hinweise suchen, wie groß die Gefährdung ist.
 
maceis schrieb:
Hehehe.
Und der Tarn Modus ist ungefähr so, als würde ich jedes mal wenn die Schwiegermutter an der Tür klingelt, hinrennen und durch die Tür rufen "Wir sind nicht daheim!" :D.
Zum Vergrößern anklicken....

Schon lustig. Aber konkrete Tipps für die Newbies - wie's asg gerade eben gemacht hat - sind dann doch noch besser als Witze, meine ich.
 
asg schrieb:
@biomac
Du musst Dir auch keine Gedanken machen wie ein Windows User.
Unter Windows gibt es hundertausende von Viren und Trojaner. Mac? Fehlanzeige (bis auf die Dinger die immer noch interaktion des Users voraussetzen). Unter Windows gibt es Botnetze zu hauf, mit dem Mac nicht. Soll heissen, der Windowshobel infiziert sich ohne das ein User etwas davon erfährt.
Nene, das was passieren kann ist, wenn der sshd rennt, das dann bruteforce Attacken kommen. Das ist aber Hintergrundrauschen und ist auf jedem UNIX Server zu finden.

Summa sumarum, der Mac ist sicher, soweit man "sicher" sagen kann. Und im Vergleich zu den Windows-zombies, ach, das will ich nicht Vergleichen, das hinkt vorne und hinten. Also mach Dir keinen Kopp.

Was IPFW angeht, es gibt eine manpage. Oder einfach die Regeln erstellen und kopieren und je nach Umgebung mit einem Shellscript aufrufen. Dann braucht man das Programm auch nicht mehr. Alles halb so wild.
Zum Vergrößern anklicken....
Vielen Dank! Magst du mir dann nochmal sagen, wie und wo ich das mit dem SSH und dem HTTPD einstellen kann? (sorry, bin totaler neuling)
 
benjii schrieb:
Schon lustig. Aber konkrete Tipps für die Newbies - wie's asg gerade eben gemacht hat - sind dann doch noch besser als Witze, meine ich.
Zum Vergrößern anklicken....
Ich kann asr nur zustimmen.
ipfw kann man lernen; Grundverständnis von TCP/IP ist zwingend erforderlich, um einen Paketfilter selbständig sicher zu konfigurieren.
Dass das nicht jedermanns Sache ist, ist mir auch klar. Wer sich da selbst nicht einarbeiten kann oder möchte, ist halt auf die Unterstützung von Fachleuten angewiesen. Das "Bitte hier klicken für Sicherheit"-Programm gibt es nicht und wird es auch nie geben.

Kann man vielleicht mit dem Auto vergleichen.
Es gibt welche, die sich selbst die erforderlichen Fachkenntnisse aneignen, um da selbst zu schrauben. Wer das nicht kann oder möchte, muss halt zum Mechaniker, wenn er sicher fahren will.
 
Zuletzt bearbeitet:
@ biomac - die Dienste schaltest du unter Systemeinstellungen/Sharing ein bzw. aus

@ maceis

ja, schön, dass hier Fachleute zur Verfügung stehen. Darum finde ich es auch wichtig, dass du dein Wissen bezüglich der richtigen Firewall-Einstellung mit anderen teilst oder den Newbies Tipps bezüglich der richtigen Dienste gibst.
 
bioMac schrieb:
Vielen Dank! Magst du mir dann nochmal sagen, wie und wo ich das mit dem SSH und dem HTTPD einstellen kann? (sorry, bin totaler neuling)
Zum Vergrößern anklicken....

Systemeinstellungen -> Sharing
Dort kannst Du Dienste aktivieren (Haken rein) oder deaktivieren (Haken raus). Im normalfall brauchst Du keinen der Dienste die dort sind zu aktivieren.
 
  • Gefällt mir
Reaktionen: bioMac
Meint ihr denn, dass Apple die Probleme in nächster zeit mit einem Update beheben wird?
 
bioMac schrieb:
Meint ihr denn, dass Apple die Probleme in nächster zeit mit einem Update beheben wird?
Zum Vergrößern anklicken....

....die frage ist in der Hinsicht ja, "gibt es hier, aus sicht von Apple, überhaupt etwas zu beheben?"

.... so wie es sich bislang darstellt, ist das ja alles von Apple so gewollt.
 
Apple sollte zwei Dinge machen:

(a) Die Einstellungen die man vornehmen kann schon in der GUI unmissverständlich beschreiben
(b) Eine Doku dazu herausgeben

Schön wäre es dazu noch IPFW in die GUI zu integrieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten