löchrige leopard firewall

[skysurfer_1]

Jeder, der sich außerhalb der eigenen vier Wände einwählt, sollte so oder so nicht mit einem "nackten" Mac losziehen. Dazu gehört dann auch mehr wie nur der Port-Filter vom OSX

hallöchen,
hier was von einem, der sich einfach ma so irgendwo (Flughafen oder so) ins Netz einwählt. Bei mir kommt diese Diskussion nicht besonders sinnvoll an, da ich von dem Meisten Gerede keine Ahnung habe...bin Neu auf Mac OS unterwegs und hab vor nicht allzu langer Zeit nach Viren für Mac gefragt, einfach ma soon Sicherheitsgedanke vom PC so gewohnt. Da wurde mir versichert es gäbe nix für Mac und wenn, könne es Ihm nicht schaden....Jetzt ist hier so ein Sicherheitsgerede entbrannt und ich wundere mich ein wenig über dieses "heisse" gerede. Wenn nix schaden kann, ausser vielleicht Spyware gibt es ja nix zum Bekakeln oder?

Was meinst Du eigentlich mit "nackt"?

Ich surf über Kabel inner Schweiz und hab kein Router, brauch ich sowas unbedingt? Hab meine Firewall bis auf Weiteres auf komplett dicht gestellt.

Sorry für mein Unwissen, aber mir kommt das Gerede hier wie böhmische Dörfer vor.... kann das ma einer ein wenig für den Laienpraktiker runterbrechen?

LG Sky

 

[magheinz]

Jeder, der sich außerhalb der eigenen vier Wände einwählt, sollte so oder so nicht mit einem "nackten" Mac losziehen. Dazu gehört dann auch mehr wie nur der Port-Filter vom OSX

Da ist genau der gleiche bullshit den man sich in Windowsforen anhören muss.
Dort werden einem mit diesen Argumenten diverse Gelbe Packungen verkauft, hier ist es halt LittleSnitch und Co.

Dienste abschalten und nix unseriöses installieren. das ist alles was man benötigt um sein System gegen die Gefahren zu sichern, gegen welche diese tollen Personalfirewalls und Virenscanner helfen sollen.

Das gilt für windows, osx, linux und alle anderen OSe mit Netzwerkfunktionalität.

 

[asg]

Butter bei die Fische, es ist eher eine grundlegende Diskussion das Apple hier, aus Sicht vieler, "geschlampt" hat und nicht das eingestellt wird was die GUI sagt. Dann fehlt noch eine anständige Doku zu dieser App-FW, ich konnte nichts finden, es finde ich, so es keine gibt, peinlich (gerade weil es eine Sicherheitsfrage ist).

Ansonsten, alle Dienste die man nicht braucht deaktivieren, auch wenn ssh aktiv ist, muss immer noch jemand dein ID und PW kennen um sich einloggen zu können. Bruteforce ahoi, aber die Chancen stehen schlecht bei entsprechenden Passwörtern.

Alles in allem ist es sicherlich kein grosse Gefahr, noch nicht. Wenn aber erstmal der erste Trojaner aufgetaucht ist, dann muss man auch hier umdenken. Bisher aber noch nicht.

 

[magheinz]

Ich surf über Kabel inner Schweiz und hab kein Router, brauch ich sowas unbedingt? Hab meine Firewall bis auf Weiteres auf komplett dicht gestellt.

wozu noch das Kabel? Und wie surfst du wenn alles "dicht" ist? ::

 

[skysurfer_1]

wozu noch das Kabel? Und wie surfst du wenn alles "dicht" ist? ::

Naja, ehrlich gesagt hab ich bisher noch nicht ins Internet geschaut, lol. War offline unterwegs, hab die neue Einstellung quasi zwischen Tür und Angel gemacht ohne zu testen, was sie für Auswirkungen hat, mach ich moin früh..... aber man kann ja Ports manuell freischalten, dachte ich jendenfalls gelesen zu haben.....muss nur rausfinden welchen...


LG Sky, der Mac Noob

 

[maceis]

...
Dienste abschalten und nix unseriöses installieren. das ist alles was man benötigt um sein System gegen die Gefahren zu sichern, gegen welche diese tollen Personalfirewalls und Virenscanner helfen sollen.
...

Schön gelernt und immer wieder abgespult. Hilfreich ist es trotzdem nicht und auch nicht grundsätzlich richtig.
Tatsache ist: Absolute Sicherheit gibt es nicht und es ist auch nicht alles grundsätzlich und immer schlecht, nur weil es keine absolute Sicherheit bietet. (Was jetzt nicht im Umkehrschluss bedeuten soll, dass Personal Firewalls ne prima Sache sind).

Pauschale Aussagen, Allgemeinplätze und Floskeln finde ich persönlich in so einer Diskussion nicht brauchbar. Wie z.B. ist "nix unseriöses " genau definiert?
Fehler und Lücken kann es auch in seriöser Soft- und Hardware (was immer das dann genau ist) geben. Und absolut vertrauenswürdig kann nur ein System sein, dass man zu 100% selbst gemacht hat (was aber nicht realisierbar ist).

 

[SirSalomon]

Was meinst Du eigentlich mit "nackt"?

Ich surf über Kabel inner Schweiz und hab kein Router, brauch ich sowas unbedingt? Hab meine Firewall bis auf Weiteres auf komplett dicht gestellt.

Sorry für mein Unwissen, aber mir kommt das Gerede hier wie böhmische Dörfer vor.... kann das ma einer ein wenig für den Laienpraktiker runterbrechen?

Du brauchst Dich nicht für Dein Unwissen entschuldigen

Bisher hat sich kein wirklicher Virus in einem Mac-System gefunden. Die wenigen (zwei oder drei?) waren nicht wirklich erwähnenswert.

Wenn ich von "Nackt" rede, gehe ich davon aus, dass ein Mac sich auch in einer gemischten Umgebung wieder finden wird. Also auch Windows- und andere Umgebungen.

Der Mac an sich ist relativ unempfindlich für Viren. Er kann aber unter bestimmten Voraussetzungen Windows-Viren weiter geben (per eMail, z.B.). Diesem Umstand sollte sich jeder Mac-User bewusst sein und entsprechend reagiren. Für mich bedeutet das, dass ich auch einen Virenscanner installiert habe, einfach um eben Windows-Viren nicht weiter zu verbreiten. In Deutschland ist die Gesetzgebung aber auch eine andere, wie bei Euch, in der Schweiz.

Gleiches gilt im Grunde auch für Trojaner. Der Mac-User muss aktiv werden, damit sich ein Trojaner im System einbinden kann.

Derzeit hat der Mac-User noch den scheinbaren Vorteil, dass sein System für Viren-/Trojaner-Programmierer uninteressant ist. Das das nicht lange so bleiben wird, daran arbeiten wir alle, weil wir den Mac so toll finden und ihn jeden zeigen, der danach fragt.

Um aber meinem liebsten "Widersacher" Magheinz zu antworten. Das ist genauso wenig Bullshit, wie in der Windows-Umgebung. Wenn mich jemand für einen Windows-Rechner nach einem Virenscanner fragt, ist die große gelbe Packung, wie Du sie nennst, ich sag da Symantec zu , das letzte Argument. Meine Empfehlung geht zur AGN Hamburg (VirusTestCender der Uni Hamburg). Dort werden regelmäßig die Virenscanner und die Leistungsfähigkeit geprüft.

Dein Hinweis zum Thema "Dienste & Virenscanner" sind zwar grundsätzlich richtig, erfordern jedoch ein Hintergrundwissen, dass Mac-User im allgemeinen, oder neue User, nicht haben. Der Mac wird ganz bewusst von Usersn gewählt, weil er so unkompliziert gehandhabt werden kann.

Dieses Thema jedoch völlig aus den Augen zu lassen, mit eben dem Hinweis "Pass auf was Du machst, dann passiert Dir auch nichts", funktioniert nicht. Im Straßenverkehr geht es auch nicht darum, dass man auf sich aufpasst, sondern das einem durch andere nichts passiert

 

[SirSalomon]

Butter bei die Fische, es ist eher eine grundlegende Diskussion das Apple hier, aus Sicht vieler, "geschlampt" hat und nicht das eingestellt wird was die GUI sagt. Dann fehlt noch eine anständige Doku zu dieser App-FW, ich konnte nichts finden, es finde ich, so es keine gibt, peinlich (gerade weil es eine Sicherheitsfrage ist).

Ich weiß nicht, woher manche Menschen ihre Informationen bekommen, aber selbst die Apple-Hilfedatei spricht nicht von einer Application-Firewall...

Wenn auch irgendwelche Artikel von einer Application-Firewall reden (ich hab die Artikel in dem Link auch gelesen), sollten sie eventuell noch einmal nachvollzogen werden

 

[asg]

IPFW ist es nicht, hier gibt es nur eine Regel die alles zulässt. Ausser man ändert ICMP Zugriffe, dann gibt es unter IPFW eine weitere Regel.

Und dann gibt es noch dieses Verzeichnis:

/usr/libexec/ApplicationFirewall

Wenn das mal nicht daraufhindeutet was da läuft.

 

[maceis]

Soweit ich das beurteilen kann, ist die ipfw (nur) noch auf dem Mac, um den Benutzern, die das wollen noch die Möglichkeit zu geben sie zu verwenden. Die "Apple"-Firewall verwendet die ipfw jedoch nicht mehr.

 

[magheinz]

Schön gelernt und immer wieder abgespult. Hilfreich ist es trotzdem nicht und auch nicht grundsätzlich richtig.
Tatsache ist: Absolute Sicherheit gibt es nicht und es ist auch nicht alles grundsätzlich und immer schlecht, nur weil es keine absolute Sicherheit bietet. (Was jetzt nicht im Umkehrschluss bedeuten soll, dass Personal Firewalls ne prima Sache sind).

Es gibt natürlich absolute Sicherheit. Strom aus und der Rechner ist Sicher.
aber Spass bei Seite:

Pauschale Aussagen, Allgemeinplätze und Floskeln finde ich persönlich in so einer Diskussion nicht brauchbar. Wie z.B. ist "nix unseriöses " genau definiert?

Das sind keine Floskeln, sondern durchaus ernst gemeinte Ratschläge.
"unseriös" war wirklich nicht geschickt gewählt. "Software aus nicht vertrauenswürdigen Quellen" triffts besser.

Fehler und Lücken kann es auch in seriöser Soft- und Hardware (was immer das dann genau ist) geben. Und absolut vertrauenswürdig kann nur ein System sein, dass man zu 100% selbst gemacht hat (was aber nicht realisierbar ist).

Ja, und genauso kann es Fehler und Lücken in den Sicherheitstools geben.

Seriöse Software ist Software aus vertraueswürdigen Quellen, ganz einfach. Wem man vertraut muss man natürlich selber wissen. Nur wenn man schon unvertrauenwürdige Software installiert, dann kann ein Sicherheitstool auch nix mehr machen. Das Ziel muss das verhindern der Installation solcher Software sein.

Das Problem ist einfach das diese Tools vor Gefahren schützen sollen welche sich durch durch das befolgen von "Floskeln", wie du es nennst, komplett vermeiden lassen. Mit anderen Worten: diese Tools sind überflüssig.
Das sie sogar zur Gefahr werden können zeigt jetzt der Aktuelle Debatte um die OSX-Firewall. Wer mir Ihr den NTP-Dienst schützen möchte statt ihn ordentlich zu konfiguieren, der schliesst halt eben NICHT die Lücke. Wenn der ntpd jetzt nen Bug hat hat der jenige ein Problem.

 

[magheinz]

Um aber meinem liebsten "Widersacher" Magheinz zu antworten. Das ist genauso wenig Bullshit, wie in der Windows-Umgebung. Wenn mich jemand für einen Windows-Rechner nach einem Virenscanner fragt, ist die große gelbe Packung, wie Du sie nennst, ich sag da Symantec zu , das letzte Argument. Meine Empfehlung geht zur AGN Hamburg (VirusTestCender der Uni Hamburg). Dort werden regelmäßig die Virenscanner und die Leistungsfähigkeit geprüft.

"große gelbe Packung" hab ich stellvertrend für alle Sicherheitssuiten und Teile daraus geschrieben.

Oliver Schad hat das mit den Virenscannern ganz gut beschrieben: http://www.oschad.de/wiki/index.php/Virenscanner

und Torsten Mann das mit den Firewalls:
http://www.ntsvcfg.de/#_pfw

 

[SirSalomon]

Und was schreibt Oliver Schad?

Und wieso benötigt man jetzt einen Virenscanner?

Man benötigt keinen Virenscanner, man kann ihn aber als Hilfsmittel einsetzen, sofern man weiß, dass die Aussagen eines Virenscanners mit Vorsicht zu genießen sind. Wenn ein Virenscanner nichts findet, heißt das gar nichts, aber selbst wenn der Virenscanner etwas Verdächtiges findet, kann es sich auch um einen falschen Alarm handeln. Ein Virenscanner kann einem also z.B. eine Bestätigung liefern, dass eine Datei einen Virus enthält und wie er heißt, er darf aber nicht als Sicherheitsnetz verstanden werden, falls man mal aus Versehen eine verseuchte Datei öffnet. Ein Virenscanner darf auch nicht als Werkzeug verstanden werden, mit dem man ein infiziertes System wieder bereinigen kann.

Zudem muss einem bewusst werden, dass Virenscanner mittlerweile beliebte Angriffsziele sind. Virenscanner bringen viel zusätzliche Komplexität ins System, was der Sicherheit grundsätzlich abträglich ist.

Das trifft es sehr genau und nichts anderes haben Maceis und ich bisher gesagt. Gleiches gilt auch für Firewall-System (oder solche die es werden wollen )

(D)eine Kernaussage "nichts machen, dann passiert einem auch nichts" ist aber zum einen nicht durchführbar und zum anderen verdammt das einen jeden Computerbenutzer zur absoluten Untätigkeit

Es geht nicht darum, mich vor Fehlern zu schützen, sondern vor ((un)beabsichtigten) Unzulänglichkeiten anderer.

 

[SirSalomon]

und Torsten Mann das mit den Firewalls:
http://www.ntsvcfg.de/#_pfw

Naja, jemand, der die Konfiguration der Windows-Firewall beschreibt und damit empfiehlt, zwei Absätze später jedoch sagt, die Menschheit bräuchte keine Personal-Firewall, ob ich dem gerade großes Vertrauen schenken würde, weiß ich nicht genau.

 

[magheinz]

Und was schreibt Oliver Schad?
Das trifft es sehr genau und nichts anderes haben Maceis und ich bisher gesagt. Gleiches gilt auch für Firewall-System (oder solche die es werden wollen )

Jeder, der sich außerhalb der eigenen vier Wände einwählt, sollte so oder so nicht mit einem "nackten" Mac losziehen. Dazu gehört dann auch mehr wie nur der Port-Filter vom OSX

stammt doch von dir, oder?

(D)eine Kernaussage "nichts machen, dann passiert einem auch nichts" ist aber zum einen nicht durchführbar und zum anderen verdammt das einen jeden Computerbenutzer zur absoluten Untätigkeit

Ich hab nie gesagt dass man nix mehr am Rechner machen darf, das ist absoluter blödsin. Man sollte nur das nachdenken, was man tut nicht auf eine Software übertragen.

Es geht nicht darum, mich vor Fehlern zu schützen, sondern vor ((un)beabsichtigten) Unzulänglichkeiten anderer.

Und denkst du auch daran die dritte Sicherheitssoftware zu installieren welche dich vor so Fehlern wie dem der jetzt in der apple-firewall aufgetaucht ist schützt? Also ein zweiter Portfilter der die vom ersten Port geschlossenen Port noch mal schliesst? und was wenn der nen Fehler hat?

Ich binde lieber den Dienst an 127.0.0.1, oder beende ihn ganz...

 

[SirSalomon]

Ich hab nie gesagt dass man nix mehr am Rechner machen darf, das ist absoluter blödsin. Man sollte nur das nachdenken, was man tut nicht auf eine Software übertragen.

Deswegen hatte ich das "D" auch in Klammern gesetzt. Derzeit geht es recht heiß her, was das Thema angeht und da bin ich in mehr wie nur diesem thread

Aber mit Deiner Aussage, dass man wissen sollte, was man tut, liegst Du richtig. Die Verwendung einer Firewall ist nicht gleichbedeutend mit "Hirn ausschalten, die Firewall schützt mich".

Sie ist ein Werkzeug, dass mir die Arbeit am Rechner und im Internet erleichtern kann.

 

[maceis]

...
Das sind keine Floskeln, sondern durchaus ernst gemeinte Ratschläge.
"unseriös" war wirklich nicht geschickt gewählt. "Software aus nicht vertrauenswürdigen Quellen" triffts besser.
...

Du tauschst einen undefinierten Begriff gegen einen anderen aus. Das ändert nichts daran, dass die Aussage als solche wenig hilfreich ist.

Angenommen wir definieren nun Apple als "vertrauenswürdige Quelle" - Dann ist doch die Firewallfunktion "gut", oder?
oder Apple ist eine "nicht vertrauenswürdige Quelle" - dann dürfen wir Mac OS X doch gar nicht verwenden, oder wie?, oder was?

Oder ist es am Ende doch nicht so einfach?

Was ich damit sagen will: Es bringt einfach nichts, irgendwelche Sprüche nachzuplappern. Genauso wenig bringt es was, wegen Artikeln auf Bild Niveau in Panik zu verfallen oder in Foren technische Informationen, Halbwahrheiten und Klischees zu vermischen und unreflektiert zu diskutieren.

 

[magheinz]

Derzeit geht es recht heiß her, was das Thema angeht und da bin ich in mehr wie nur diesem thread

ich weiss

Aber mit Deiner Aussage, dass man wissen sollte, was man tut, liegst Du richtig. Die Verwendung einer Firewall ist nicht gleichbedeutend mit "Hirn ausschalten, die Firewall schützt mich".

Sie führt aber bei den meissten Leuten zu genau diesem Verhalten.
Die Sache mit den offenen Ports zeigt das doch. Statt die Dienste einfach ordentlich an lo zu binden oder bei nicht gebrauch abzuschalten wird sich auf die Firewall verlassen.Das abschalten wäre aber auf jeden Fall die intelligentere Lösung.

Apple hat hier ein massives problem. Sie setzen den usern ein voll Netzwerkfähiges OS vor. ein komplettes Unix mit allen Vor und Nachteilen. Das versuchen sie hinter einen Bombonoberfläche zu verstecken. Jetzt müssen plötzlich user entscheiden ob sie z.B. einen NTP-Server betreiben wollen ohne zu wissen was das eigentlich ist. Das geht halt schief. Wissen durch Frontends zu ersetzen ist schwierig. Es wäre wesentlich besser gewesen ALLE Dienste an lo zu binden. So müsste sich dann der User damit auseinandersetzen was er möchte und was nicht. Apple hätte da viel aus den Fehlern von Microsoft lernen können, hat das aber wohl leider verpasst.

 

[magheinz]

Du tauschst einen undefinierten Begriff gegen einen anderen aus. Das ändert nichts daran, dass die Aussage als solche wenig hilfreich ist.

ich denke mal "vertrauenwürdig" ist gut definiert...

Angenommen wir definieren nun Apple als "vertrauenswürdige Quelle" - Dann ist doch die Firewallfunktion "gut", oder?
oder Apple ist eine "nicht vertrauenswürdige Quelle" - dann dürfen wir Mac OS X doch gar nicht verwenden, oder wie?, oder was?

Oder ist es am Ende doch nicht so einfach?

Doch, es ist so einfach. Du musst nur selber entscheiden ob apple vertrauenswürdig ist oder nicht. Falls nein, dann solltest du es wirklich nicht einsetzen. Falls doch, dann brauchst du auch keinen zusätzliche Software um es zu überwachen. Darum ging es.

Das auch vertrauenwürdige Software Fehler haben kann ist noch mal eine andere Geschichte. Fehlerfreie Software dürfte sich auf helloworld-Programme beschränken.

Möglichen Softwarefehlern durch noch mehr Software zu begegnen ist halt kontraproduktiv da mit der Seigenden Codemenge auch zwangsweise die Fehlermenge steigt.

Und im übrigen würde ich, wenn es wirklich um Sicherheit geht, apple tatsächlich nicht als vertrauenswürdig bezeichnen. Da vertraue ich doch opensource mehr.

Was ich damit sagen will: Es bringt einfach nichts, irgendwelche Sprüche nachzuplappern. Genauso wenig bringt es was, wegen Artikeln auf Bild Niveau in Panik zu verfallen oder in Foren technische Informationen, Halbwahrheiten und Klischees zu vermischen und unreflektiert zu diskutieren.

Keine Angst, das ist gut reflektiert bei mir. Es ist nur offensichtlich nicht immer deine Meinung, aber sonst hätten wir auch nix zu diskutieren

 

[SirSalomon]

Sie führt aber bei den meissten Leuten zu genau diesem Verhalten.
Die Sache mit den offenen Ports zeigt das doch. Statt die Dienste einfach ordentlich an lo zu binden oder bei nicht gebrauch abzuschalten wird sich auf die Firewall verlassen.Das abschalten wäre aber auf jeden Fall die intelligentere Lösung.

Wenn ein Jemand aber nichts von dem Thema weiß und schon gar nicht weiß, wie man einen Dienst "verbiegt", was bringt es dann?

Eben genau dieser Jemand ist darauf angewiesen, dass es ihm entweder erläutert wird, was einer Schulbildung gleich käme, oder aber ihm ein Werkzeug an die Hand zu geben, dass ihm die Arbeit abnimmt.