löchrige leopard firewall

maceis schrieb:
Ich weiß nicht, was Ihr für ein Problem mit 'ps' habt.
Zum Einen mach 'ps' (zumindest nach meinem Kenntnisstand) keine Sockets auf.
Zum Anderen könnt Ihr doch das SUID Bit ganz einfach entfernen, wenn Ihr der Meinung seit das ist dennoch schädlich (was ich noch nicht so ganz nachvollziehen kann).
Zum Vergrößern anklicken....

da geht es halt um eher security best practise:
was nicht unbedingt mit root laufen muss, sollte es auch nicht...

meint du so was wie ps ist gegen bufferoverflows oder privilege escalation gefeit?
suid binaries sind da doch immer der erste angriffspunkt...
 
Nix gegen eine Application-Firewall, das weiss man mittlerweile das es eine solche ist, aber warum wird der Paketfilter IPFW fast ad acta gelegt? Das ist es was ich nicht verstehe. Naja, auch das man bei der App-FW nicht sehr viele Möglichkeiten hat und mit das Vorgehen immer noch suspekt ist.

Apple sollte IPFW nicht aussen vor lassen, sondern diese sollte, als "Experteneinstellung" unter der GUI auch angepasst werden können. Es gibt mittlerweile ja ein paar GUIs für IPFW, da sollte es doch für Apple ein leichtes sein hier eine entsprechende eigene GUI zu entwickeln und dem User einen wirklichen brauchbaren Paketfilter in die Hand zu geben.

Auch diese "Dokument" ist ja bisher nur ein Witz und man konnte sich das was da steht schon selbst alles zusammenreimen.

Die App-FW sollte verbessert werden, das Verfahren über die Signaturen überdacht und IPFW sollte via GUI auch für den gemeinen Mac-User zugänglich und nutzbar sein. Nicht jeder kann und will im Terminal Regeln aufstellen, bzw. sich mit der genauen Logik auseinandersetzen.
 
asg schrieb:
Die App-FW sollte verbessert werden, das Verfahren über die Signaturen überdacht und IPFW sollte via GUI auch für den gemeinen Mac-User zugänglich und nutzbar sein. Nicht jeder kann und will im Terminal Regeln aufstellen, bzw. sich mit der genauen Logik auseinandersetzen.
Zum Vergrößern anklicken....

Dem kann ich mich nur anschliessen.

Wenn Apple jetzt eine Firewall auf 2 Ebenen vorsieht, warum dann nicht komplett per GUI bedienbar?
Ich hoffe das vor allem für die im Umgang mit ipfw weniger erfahrenen Nutzer. Nur wenn das Gros der Anwender einen Nutzen hat, ist das System als Ganzes für mich Apple-like und auch langfristig erfolgreich.
 
oneOeight schrieb:
da geht es halt um eher security best practise:
was nicht unbedingt mit root laufen muss, sollte es auch nicht...
...
Zum Vergrößern anklicken....
Ja klar, da ist richtig. Ich hatte jetzt nur den Bezug zu Thema "löchrige leopard Firewall" nicht gesehen.
Wie gesagt, SUID-Bit kann man wegnehmen. Bei 'ps' hat es halt den Effekt, dass halt der "normale" Benutzer tatsächlich alle Prozesse sehen kann, auch ohne root-Rechte. Ob das nun ein Problem sein könnte, muss jeder für sich entscheiden
oneOeight schrieb:
..
meint du so was wie ps ist gegen bufferoverflows oder privilege escalation gefeit?
suid binaries sind da doch immer der erste angriffspunkt...
Zum Vergrößern anklicken....
Gegen Bufferoverruns bzw. die schädlichen Folgen ist Leo ja anscheinend besser geschützt als die Vorgängersysteme. Außerdem muss ein Angreifer ja erst einmal Zugriff auf den Rechner haben.

Aber trotzdem sind Deine Argumente auch nicht ganz von der Hand zu weisen.
 
maceis schrieb:
Ja klar, da ist richtig. Ich hatte jetzt nur den Bezug zu Thema "löchrige leopard Firewall" nicht gesehen.
Zum Vergrößern anklicken....

Es fiel mir halt auf, als ich wegen der Firewall mal nachguckte, welche Prozesse als root laufen.
Dabei fiel mir übrigens auch auf, dass ps nun auch die -ef switches unterstützt, als ich das im linux-tran eintippte...
 
asg schrieb:
...
Apple sollte IPFW nicht aussen vor lassen, sondern diese sollte, als "Experteneinstellung" unter der GUI auch angepasst werden können. Es gibt mittlerweile ja ein paar GUIs für IPFW, da sollte es doch für Apple ein leichtes sein hier eine entsprechende eigene GUI zu entwickeln und dem User einen wirklichen brauchbaren Paketfilter in die Hand zu geben.
...
Zum Vergrößern anklicken....
Schon richtig, aber andererseits ist das eine zweischneidige Sache.
Ich behaupte mal, dass jemand der sich die erforderlichen Kennnisse aneignen kann, um einen Paketfilter "richtig" zu konfigurieren dies auch ohne GUI schafft und dabei zudem den Vorteil hat, dass man wesentlich mehr Features nutzen kann, die von keiner GUI angeboten werden (können). Außerdem lernt man mehr dabei.
 
maceis schrieb:
Schon richtig, aber andererseits ist das eine zweischneidige Sache.
Ich behaupte mal, dass jemand der sich die erforderlichen Kennnisse aneignen kann, um einen Paketfilter "richtig" zu konfigurieren dies auch ohne GUI schafft und dabei zudem den Vorteil hat, dass man wesentlich mehr Features nutzen kann, die von keiner GUI angeboten werden (können). Außerdem lernt man mehr dabei.
Zum Vergrößern anklicken....

Ja klar. Nutzung einer GUI heisst ja nicht das der Terminal damit ad absurdum geführt wird.
 
Hier noch ein Blog mit einem spannenden Disput zwischen Jürgen Schmidt - dem Autor des heise.de-Artikels, in dem die Leopard-Firewall in der Luft zerrissen wird – und dem Sicherheits-Experten Thomas Ptacek:

http://www.matasano.com/log/988/excellent-explanation-of-leopards-firewall-behavior/

Ich für mich muss sagen, dass ich Ptacek zustimme: Die Firewall in Leopard unterscheidet sich von erheblich von den traditionellen Ansätzen, ihre Bedienung ist missverständlich gekennzeichnet und sie ist schlecht dokumentiert.

Aber es gibt keine Anzeichen, dass sie unsicherer ist als die Firewall in Tiger.
 
wenn du die verlinkte Diskussion ueber dir liesst wirst du feststellen, dass du keine Alternative brauchst. Mir sind ausserdem nicht viele Leute in meinem Umfeld bekannt, die nicht hinter einem Router haengen wuerden. Ich hatte auch unter Tiger meine Firewall nicht aktiviert :)
 
ROFL,

Ich habe gerade mal sudo ntpdate [IP meines 2ten Macs] eingetippt, und auch die Uhrzeit bekommen. Allerdings vom Apple Timeserver und nicht von der angefragten IP.

Die Zeit wird also nicht von dem angefragten Rechner beantwortet sondern vom eingetragenen Timeserver. Die hätten das ganze vielleicht mal ohne direkten Anschuss zum Netz testen sollen.
 
lundehundt schrieb:
wenn du die verlinkte Diskussion ueber dir liesst wirst du feststellen, dass du keine Alternative brauchst. Mir sind ausserdem nicht viele Leute in meinem Umfeld bekannt, die nicht hinter einem Router haengen wuerden. Ich hatte auch unter Tiger meine Firewall nicht aktiviert :)
Zum Vergrößern anklicken....

das argument dass ich keine brauche zweifle ich häufig an...
ich bin zwar ein mac neu nutzer (also noch nicht einmal, warte gerade auf die Lieferung), aber ich benutze in meinem Haushalt auch eine Windowsmachine. Also halte ich es für kritisch falls ich mich zB auf einem Airport mit meinem MacBook einlogge udn mir dort einen Virus fange, der dann meinen PC ruiniert.
Gibt es einfach keine Alternativen?

mfG
calthamon
 
benutzt du einen Router? Dann ist die softwarebasierte Firewall am Firewall am Mac eigentlich ueberfluessig.

Windows Viren laufen nur auf Windows Rechnern. Fuer den Mac gibt es keine Viren. Und wie solltest du dir auf deiner Airport Basis einen Virus einfangen?

Du bist einfach nur zu unrecht Verunsichert. Was der Heise Typ demonstriert hat ist, dass du als root eine undokumentierte Ausnahme in den Regeln der Applikation Firewall hast. Die ist u.A. noetig um die Firwall ueberhaupt konfigurieren zu koennen. Du musst also in dem Fall das root oder admin passwort des Rechners haben.
 
Ich werde dann einen WLAN Router benutzen.
Naja aber ich denke ich vertraue euch dann mal und bin überzeugt dass ich mir nichts einfangen werde :)
 
lundehundt schrieb:
benutzt du einen Router? Dann ist die softwarebasierte Firewall am Firewall am Mac eigentlich ueberfluessig.
Zum Vergrößern anklicken....

Aha, ein WLAN Hotspot in einem Cafe, auf einer Messe, wo auch immer, sitzt Du also hinter einem Router der Dich vor den anderen Usern schützt die im gleichen hotspot eingeloggt sind.

Nene, es gibt genug Umgebungen wo man nicht hinter einer FW sitzt, bzw. wo andere auf der gleichen Ebene sind.
 
Tzunami schrieb:
ROFL,

Ich habe gerade mal sudo ntpdate [IP meines 2ten Macs] eingetippt, und auch die Uhrzeit bekommen. Allerdings vom Apple Timeserver und nicht von der angefragten IP.

Die Zeit wird also nicht von dem angefragten Rechner beantwortet sondern vom eingetragenen Timeserver. Die hätten das ganze vielleicht mal ohne direkten Anschuss zum Netz testen sollen.
Zum Vergrößern anklicken....

Wenn ich das richtig verstehe, dann ist das Blödsinn was da steht.
Nimm Dir ne andere Büchse im LAN, ich hatte dazu eine FreeBSD workstation, und frage den NTPD von MacOSX ab (wobei die FW aktiviert war). Du bekommst die Antwort von der MacOSX Kiste.

Siehe auch:
http://www.grunix.de/archives/2007-10-30/322/MacOSX-10.5-Die-offene-Firewall/

Code: 
ntpdate[1864]: adjust time server 10.10.11.230 offset 0.249411 sec
 
die Antwort kommt nicht vom Apple Time Server sondern vom client auf dem Mac
 
Zuletzt bearbeitet:
benjii schrieb:
Jetzt ist dann das Netzwerk-Zeitprotokoll, mit dem OS X meines Wissens schon seit mehr als 5 Jahren arbeitet, die potenzielle Gefahrenquelle Nr. 1
Zum Vergrößern anklicken....
Unter den standardmässig verfügbaren ist es das vielleicht. Was glaubst du denn, welche obskuren Einfallstore Angreifer schon genutzt haben, nur weil sie standardinstallationsmässig offenstanden?

Es geht bei einer Firewall (auch) ums Prinzip.
Das einer hermetischen Abschottung.
Deshalb heisst das Ding auch "Firewall" und nicht "Roadblock".

Und die von Apple tut offensichtlich nicht das, was sie tun soll, bzw. vor allem nicht das, was sie zu tun vorgibt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten