löchrige leopard firewall

Mal was Anderes: Was haltet Ihr von dem oben erhobenen Einwand, dass die heise-Experten es einfach nicht richtig geblickt haben?

http://leofud.blogspot.com/

Wenn zwischen "open|filtered" und "open" tatsächlich so ein Unterschied besteht – und nichts anderes sagt ja das nmap-Manual - dann ist das ja ziemlich peinlich für die heise-Leute, da dem Leopard große Löcher zu unterstellen.
 
Die "Löcher" sind vorhanden, ganz ohne Zweifel. Du solltest aber nicht außer Acht lassen, was und wie die Heise-Leute diesen "Test" gemacht haben:

# nmap -sU 192.168.69.21
PORT STATE SERVICE
123/udp open|filtered ntp
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
631/udp open|filtered unknown
5353/udp open|filtered zeroconf
MAC Address: 00:17:F2:DF:CD:B3 (Apple Computer)
Zum Vergrößern anklicken....
Ein NMAP im lokalen Netzwerk ist so spannend wie in einer Turnhalle Auto fahren. Das bringt rein gar nichts...
 
Es soll auch einige geben, die mit ihrem mobilen Mac sich in einen Hotspot einbuchen ;).
 
Pingu schrieb:
Es soll auch einige geben, die mit ihrem mobilen Mac sich in einen Hotspot einbuchen ;).
Zum Vergrößern anklicken....
Jeder, der sich außerhalb der eigenen vier Wände einwählt, sollte so oder so nicht mit einem "nackten" Mac losziehen. Dazu gehört dann auch mehr wie nur der Port-Filter vom OSX ;)
 
# nmap -sU 192.168.69.21
PORT STATE SERVICE
123/udp open|filtered ntp
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
631/udp open|filtered unknown
5353/udp open|filtered zeroconf
Zum Vergrößern anklicken....
Hat sich einer von Euch Schnarchnasen mal die Mühe gemacht, zu verstehen, was es bedeutet, wenn nmap bei einem UDP-Scan einen Port als "open|filtered" ausweist.
Daran, wie heise das "ausschlachte", zeigt sich IMHO das Niveau dieses Artikels.
 
Das heißt, dass kein "ICMP unreachable" zurück kam ;).

Es heißt aber nicht, dass es ungefährlich ist. Denn im Falle von NTP und von Bonjour "sitzt" da "jemand" und hört zu. Falls also doch einmal ein Fehler gefunden werden sollte, dann könnte man ein entsprechend präpariertes UDP-Paket dahin senden; der Dienst könnte abstürzen und in einem, vielleicht unwahrscheinlichen Fall, arbitrary Code ausführen. Genau das nennt man dann Sicherheitsloch ;).
 
Pingu schrieb:
Das heißt, dass kein "ICMP unreachable" zurück kam ;).
...
Zum Vergrößern anklicken....
Und was genau passiert bei einem UDP-Scan, wenn eine Firewall diesen Port mit einer "Drop"-Regel blockt?

Von ungefährlich habe ich nicht gesprochen - ich finde es nur etwas befremdlich, dass viele gleich ausrasten, wenn da steht "offen oder gefiltert - ich kann es nicht feststellen", denn genau das bedeutet "open|filtered". Nicht mehr und nicht weniger.
 
Man stelle die Application-Firewall auf "blockiere alles von aussen" und fragen dann von aussen den NTPD auf dem mac ab. Man bekommt eine Antwort. Das ist leider eine starke Diskrepanz zu dem was einem von der GUI versprochen wird.
 
Wenn das so ist (ich habe es nicht getestet), ist das nicht okay.
Dennoch bin ich der Ansicht, dass da eine sachliche und fachlich halbwegs sinnvolle Diskussion mehr bringt, als das was heise da abgeliefert hat.

Ich für meinen Teil werde mir eine Meinung über die neue Firewall jedenfalls erst dann bilden, wenn ich wenigstens halbwegs verstanden habe, wie sie funktioniert. Im Übrigens fühle ich mich mit meinen bisherigen Sicherheitsvorkehrungen auch mit Leo immer noch hinreichend sicher.
 
maceis schrieb:
Und was genau passiert bei einem UDP-Scan, wenn eine Firewall diesen Port mit einer "Drop"-Regel blockt?
Zum Vergrößern anklicken....
Es ist nur recht unüblich eine Firewall zu haben, die auf bestimmte Ports ein unreachable sendet und andere einfach dropt. Eine Firewall macht entweder oder und das dann für alle Ports. Somit kann man in einem solchen Fall schon darauf schließen, dass da etwas löpt ;).

Sicherlich könnte jetzt auch jemand kommen und in seiner Firewall Regeln haben wo bestimmte Ports beantwortet werden und andere gedropt werden, nur um den "Angreifer" zu verunsichern. Auf der anderen Seite, wer so savy ist, hat eher einen Honeypot laufen.
 
Hat denn jemand den Leopard und kann das mal nachtesten, was heise berichtet? Es gibt nämlich bereits andere Tests, in denen die Firewall ganz normal reagiert:

http://padilla.net/osx-10.5_firewall_test
 
Vernünftiger Ansatz ;).
Ach übrigens: Leopard hat jetzt auch eine russischer Lokalisierung ;).
 
asg schrieb:
Man stelle die Application-Firewall auf "blockiere alles von aussen"...
Zum Vergrößern anklicken....
Du kannst einer Application-Firewall nicht sagen, dass nichts von außen rein kommen soll.

Die Application-Firewall arbeitet auf der anderen Seite und kann höchstens sagen, dass nicht nach außen gelangen soll, quasi "blockiere alles von innen nach außen"...
 
Ich erwähnte die russische Lokalisierung nur, weil ich mich erinnerte, dass benjii vor einer Weile mal nach einer solchen für Tiger gefragt hatte.
 
maceis schrieb:
Ich erwähnte die russische Lokalisierung nur, weil ich mich erinnerte, dass benjii vor einer Weile mal nach einer solchen für Tiger gefragt hatte.
Zum Vergrößern anklicken....
Dann entschuldige meine Fehlinterpretation :cake:
 
maceis schrieb:
Ich erwähnte die russische Lokalisierung nur, weil ich mich erinnerte, dass benjii vor einer Weile mal nach einer solchen für Tiger gefragt hatte.
Zum Vergrößern anklicken....

ja, danke, maceis. Das mit dem russischen Raubtier habe ich bereits registriert - wird bei meiner nächsten Reise mit dabei sein. ;)

Hmm.. was die Firewall-Problematik betrifft. Ich finde das alles noch sehr mysteriös. Ich bin mal gespannt, ob und wie Apple reagiert.
 
SirSalomon schrieb:
Du kannst einer Application-Firewall nicht sagen, dass nichts von außen rein kommen soll.

Die Application-Firewall arbeitet auf der anderen Seite und kann höchstens sagen, dass nicht nach außen gelangen soll, quasi "blockiere alles von innen nach außen"...
Zum Vergrößern anklicken....

Mag sein, aber in der Einstellung der GUI, welche für die App-FW ist, wird dies eben genauso benannt. "Alle eingehenden verbindungen blockieren".
Ich dachte zuerst da wird wieder IPFW alles regeln, was sich nach Tests aber als Trugschluss herausstellte.
Ich habe das auch alles kurz angetestet. Siehe hier:
http://www.grunix.de/archives/2007-10-30/322/MacOSX-10.5-Die-offene-Firewall/
und
http://www.grunix.de/archives/2007-10-31/323/MacOSX-10.5-Firewall,-die-zweite/
 
Hmm... dass "open|filtered" für nmap nicht das gleiche bedeutet wie "open", ist ja oben schon erwähnt worden.

Dass du allerdings den Zeitserver ansprechen kannst, ist seltsam bei diesen Einstellungen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten