löchrige leopard firewall

[below]

Ich sehe schon, hier gibt es eine hitzige Diskussion. Aber - auch wenn die Leopard Firewall lange nicht so schlecht zu sein scheint wie die Medien behaupten - was muss man denn tun, um sich als neuer Macuser mit noch wenig Erfahrung richtig zu verhalten? Firewall aktivieren oder nicht? Was an zusätzlicher Sicherheit?

Wäre über Tipps dankbar.

Wenn Du hinter einem normalen Router bist (Wireless Lan Access point oder so) -- und das sind ja die meisten -- sehe ich wenig bis überhaupt keinen Handlungsbedarf.

Anschalten der Firewall schadet nicht, aber -- da lehne ich mich mal aus dem Fenster -- Dir wird auch nicht viel passieren wenn sie aus ist.

Leopard, wie es aus der Kiste kommt ist "sicher" -- meine Aufregung darfst Du nur als "Das hätte aber böse ins Auge gehen können" verstehen, und als Aufforderung an Apple, sich nicht auf den Lorbeeren auszuruhen.

Und wer den ntpd loswerden will, der verschiebt /System/Library/LaunchDaemons/org.ntp.ntpd.plist an ein lauschiges Plätzchen.

Alex

 

[below]

@ below: du hast dir ja etliche Gedanken gemacht, was den ntpd-Server betrifft. Gar keine Vermutungen?

Nein, keine. Es ist mir vollkommen schleierhaft, warum der läuft

Alex

 

[oneOeight]

Nein, keine. Es ist mir vollkommen schleierhaft, warum der läuft

der läuft damit die uhr regelmässig gestellt wird...
ist in jeder linux distro auch nicht anders, bloss liefern die im gegensatz zu apple eine vernünftige config mit, damit man den von aussen nicht abfragen kann...

alternativ kannst du den natürlich auch abstellen und regelmässig ntpdate starten, wobei ich gerade nicht weiß, ob dann das drift-file (wo die abweichung der internen uhr gespeichert wird) auch genutzt wird...

 

[in2itiv]

Leopard, wie es aus der Kiste kommt ist "sicher" -- meine Aufregung darfst Du nur als "Das hätte aber böse ins Auge gehen können" verstehen, und als Aufforderung an Apple, sich nicht auf den Lorbeeren auszuruhen.

...dann sollten aber auch alles das so darstellen ..... mit solchen threads wie diesem hier werden alle unbedarften (und gerade beim mac ist das die mehrzahl) verrückt gemacht.

 

[below]

der läuft damit die uhr regelmässig gestellt wird...
ist in jeder linux distro auch nicht anders, bloss liefern die im gegensatz zu apple eine vernünftige config mit, damit man den von aussen nicht abfragen kann...

Stimmt :thumbs

Und er läuft auch auf Tiger, auf beiden System dann, wenn "Automatisch einstellen" eingeschaltet ist.
Damit relativiere ich eine Aussage und schäme mich

Der Dienst ist nicht per Default an, wenn ich das richtig sehe. Das Automatische einstellen der Uhr muss man aktivieren.

Alex

 

[asg]

Insgesamt finde das aber schon ein heftiges Stück, das sich die Fachpresse da leistet: Zuerst wird so getan, als ob wegen der neuen Leo-Firewall eine Virenflut a la Sasser beim Mac kurz bevor steht. Und zahlreiche Laien und Newbies kriegen es - was ja nachvollziehbar ist - mit der Angst zu tun.

Und dann stellt sich heraus, hoppla, Apple benutzt ja mit der applikationsbasierten Lösung und den Signaturen einen ganz neuen Ansatz. Es ist zwar alles anders, aber nicht schlimmer als vorher. Aber das wird dann eher in einem kleinen Artikel vermerkt.

Quark.
- Applikationsbasierte FW ist schön und gut, IPFW als richtiger Paketfilter sollte weiterhin Verwendung finden.
- Wenn ich der FW sage, mach alles dicht, dann erwarte ich auch das alles dicht ist und das auch Dienste wie der NTPD nicht mehr antworten. Was er aber macht. Da er es ja darf. Warum und wieso ist mir schleierhaft, ich will das was ich anfordere, wenn ich das nicht bekomme, dann ist das ein Bug.

Dann lade man sich ein Programm herunter, installieren, ausführen. Klar wird gefragt ob man dem Programm den Zugriff gestattet, aber da klicken viele auf ja. Schwupps unterhält sich das Programm über Port xyz mit sonstwem. Oder installiert was über diesen Port nach.
Ne, ne. Da sollen die lieber ne GUI für IPFW anbieten wo man wirklich die Ports dicht machen kann und nur die offen lässt die man auch braucht.

 

[bioMac]

Wenn Du hinter einem normalen Router bist (Wireless Lan Access point oder so) -- und das sind ja die meisten -- sehe ich wenig bis überhaupt keinen Handlungsbedarf.

Leider bin ich das - zumindest teilweise - nicht. Was mache ich also? In einen Router investieren wollte ich eigentlich nicht noch (Mac war so schon teuer genug)...

 

[oneOeight]

ntpd ist im Übrigen nicht nur "einfach so" drin in OS X. Apple empfiehlt den Einsatz ausdrücklich als Sicherheitsmaßnahme unter dem Punkt "Simple Changes to Enhance the Security of Mac OS X":

"Turn on Network Time Synchronization. This is a good idea, particularly if you have a constant connection to either a local NTP (Network Time Protocol) server or the Internet. Ask your local systems or network administrator if you have a local NTP server. Keeping your clock synchronized to official time is helpful in coordinating forensics of an attack and detecting alterations to the system."

wo ist das denn eine sicherheitsmassnahme?
hast du das mal richtig gelesen?
forensic betreibt man, wenn man einen einbruch entdeckt hat (falls man den überhaupt entdeckt, das tun storm worm opfer ja irgendwie nicht)...
ist also eher schadensbegrenzung als eine sicherheitsmassnahme...

Das Ganze ist im Übrigen stark abgesichert:

"Authentication Support Authentication support allows the NTP client to

das ist ein ntp protokoll feature, aber das hilft dir ja nichts, wenn du jeder den server auf deinem mac abfragen kann und in der abfrage-bearbeitungs-routine ein buffer-overflow ist...

 

[benjii]

@ asg

schon klar, dass das wesentlich besser transparent gemacht werden sollte, was da in der Firewall passiert. Auch klar, dass die Dokumentation der Firewall schlecht ist. Aber nochmal: Ist das ein Grund, eine Infizierung der Macs mit Sachen wie Sasser & Co. zu prophezeien und Newbies in Angst und Schrecken zu versetzen? Eine sachlichere Berichterstattung wäre besser - siehst du ja an den Reaktionen etlicher User hier, wie die Panik umgeht.

Ist im Übrigen die ipfw nicht doch auch aktiv?:

"The Application Firewall does not overrule rules set with ipfw, because ipfw operates on packets at a lower level in the networking stack."

@ oneOeight

"detecting alterations to the system" klingt ja schon nach Erkennungs-Hilfen. Das Ganze ist ja von Apple unter dem Punkt "Einfache Änderungen, um die Sicherheit von OS X zu erhöhen" publiziert worden.

 

[asg]

@ asg
schon klar, dass das wesentlich besser transparent gemacht werden sollte, was da in der Firewall passiert. Auch klar, dass die Dokumentation der Firewall schlecht ist. Aber nochmal: Ist das ein Grund, eine Infizierung der Macs mit Sachen wie Sasser & Co. zu prophezeien und Newbies in Angst und Schrecken zu versetzen? Eine sachlichere Berichterstattung wäre besser - siehst du ja an den Reaktionen etlicher User hier, wie die Panik umgeht.

Wer macht das denn? Wir reden hier von der Theorie, nicht mehr nicht weniger, dem denkbaren. Und eine FW die sich so verhält wie die von Apple, da muss man auch daran denken dürfen, nein, müssen. Zumal solche Publikationen dazu führen dürften das Apple nachbessert und auch endlich mal eine anständige Doku rausrückt.

Ist im Übrigen die ipfw nicht doch auch aktiv?:

"The Application Firewall does not overrule rules set with ipfw, because ipfw operates on packets at a lower level in the networking stack."

Nicht nur lesen, auch selbst mal nachsehen. Geschrieben steht vieles.
Ja, IPFW ist aktiv und per default ist alles auf Durchzug. IPFW setzt noch eine rule auf deny, wenn man ICMP unterbinden will. Das war es dann auch.
De fakto ist IPFW somit unter MacOSX 10.5 nicht mehr in Gebrauch, ausser man legt selbst Hand an. Über die GUI, welche da "Firewall" heisst, geht es aber nicht, und ich traue IPFW, einem Paketfilter mehr, als nur einer App-FW. Beide zusammen wären eine gute Sache.

 

[bioMac]

Leider bin ich das - zumindest teilweise - nicht. Was mache ich also? In einen Router investieren wollte ich eigentlich nicht noch (Mac war so schon teuer genug)...

Keiner einen Tipp für mich?

 

[benjii]

Keiner einen Tipp für mich?

Du siehst ja, wie alle hier uneins sind über das Gefährdungspotenzial. Ich würde dir raten - vertrau' der Firewall. Und noch ist keine Malware für OS X bekannt.


@ asg:

heise.de schrieb:

"Denn Apple demonstriert hier eine Unbefangenheit in Sicherheitsfragen, die frappierend an Microsoft und Windows vor vier Jahren erinnert: Damals lieferte Microsoft mit Windows XP zwar bereits eine Firewall aus. Die war aber standardmäßig nicht eingeschaltet und wurde beim Einspielen von Updates auch mal wieder deaktiviert. So waren standardmäßig auch über die Schnittstelle zum Internet Systemdienste erreichbar, die potentielle Einfallstore für Schädlinge sein konnten. Doch trotz jahrelanger Warnungen von Sicherheitsexperten fühlte man sich sicher. Hauptsache die Sicherheit kam den tollen, neuen Netzwerkfunktionen nicht in die Quere.

Dann kamen Würmer wie Lovsan/Blaster und Sasser und infizierten über Sicherheitslücken in Systemdiensten innerhalb kürzester Zeit Millionen von Windows-Rechnern, was zu Schäden in mehrstelliger Millionenhöhe führte. Noch heute ist ein ungepachtes Windows-System ohne Firewall innerhalb weniger Minuten verseucht. Doch Microsoft hat mittlerweile seine Lektion gelernt: Seit Service Pack 2 liefern die Redmonder eine brauchbare Firewall mit, die standardmäßig aktiv ist; auf einem Windows-System ist in der Standard-Konfiguration von außen kein Dienst mehr zu erreichen."

eine Woche später haben sie dann entdeckt, dass Signaturen eingesetzt werden und doch nicht alles so offen ist, wie sie vermutet haben

 

[MacMännchen]

ntpd ist im Übrigen nicht nur "einfach so" drin in OS X. Apple empfiehlt den Einsatz ausdrücklich als Sicherheitsmaßnahme unter dem Punkt "Simple Changes to Enhance the Security of Mac OS X":

"Turn on Network Time Synchronization. This is a good idea, particularly if you have a constant connection to either a local NTP (Network Time Protocol) server or the Internet. Ask your local systems or network administrator if you have a local NTP server. Keeping your clock synchronized to official time is helpful in coordinating forensics of an attack and detecting alterations to the system."

http://developer.apple.com/internet/security/securityintro.html

Abgesehen davon, dass das kein feature im Sinne einer vorbeugenden Sicherheit ist : schau mal aufs Datum des Artikels: 25.08.04.
Es handelt sich also nicht um ein aktuelles Statement zu Leopard.

 

[benjii]

Abgesehen davon, dass das kein feature im Sinne einer vorbeugenden Sicherheit ist : schau mal aufs Datum des Artikels: 25.08.04.
Es handelt sich also nicht um ein aktuelles Statement zu Leopard.

Habe ich auch nicht behauptet, dass das ein Statement zu Leopard ist. Du denkst also, es gilt nicht mehr?

 

[asg]

@ asg:

heise.de schrieb:

"Denn Apple demonstriert hier eine Unbefangenheit in Sicherheitsfragen, die frappierend an Microsoft und Windows vor vier Jahren erinnert: Damals lieferte Microsoft mit Windows XP zwar bereits eine Firewall aus. Die war aber standardmäßig nicht eingeschaltet und wurde beim Einspielen von Updates auch mal wieder deaktiviert. So waren standardmäßig auch über die Schnittstelle zum Internet Systemdienste erreichbar, die potentielle Einfallstore für Schädlinge sein konnten. Doch trotz jahrelanger Warnungen von Sicherheitsexperten fühlte man sich sicher. Hauptsache die Sicherheit kam den tollen, neuen Netzwerkfunktionen nicht in die Quere.

Dann kamen Würmer wie Lovsan/Blaster und Sasser und infizierten über Sicherheitslücken in Systemdiensten innerhalb kürzester Zeit Millionen von Windows-Rechnern, was zu Schäden in mehrstelliger Millionenhöhe führte. Noch heute ist ein ungepachtes Windows-System ohne Firewall innerhalb weniger Minuten verseucht. Doch Microsoft hat mittlerweile seine Lektion gelernt: Seit Service Pack 2 liefern die Redmonder eine brauchbare Firewall mit, die standardmäßig aktiv ist; auf einem Windows-System ist in der Standard-Konfiguration von außen kein Dienst mehr zu erreichen."

eine Woche später haben sie dann entdeckt, dass Signaturen eingesetzt werden und doch nicht alles so offen ist, wie sie vermutet haben

Sie sprechen, wenn überhaupt, von einer möglichen Gefahr.
Und nochmals, wie auch im Artikel zu lesen, wenn ich der FW sage, lass keine Zugriffe mehr von aussen zu, dann soll sie das auch machen. De facto tut sie aber genau das nicht, signatur hin oder her. Sie macht nicht das was sie machen soll. Und wenn man sich darauf nicht verlassen kann, ist dies, gerade in einem so sensiblen Bereich, mehr als Mist.

 

[below]

Und nochmals ... wenn ich der FW sage, lass keine Zugriffe mehr von aussen zu, dann soll sie das auch machen. De facto tut sie aber genau das nicht, signatur hin oder her. Sie macht nicht das was sie machen soll.

Wie gesagt, ich verstehe da auch den Versuch von einigen nicht, das umzudeuten.

Stellt Euch vor, ihr engagiert einen Türsteher. Dem sagt ihr:

"Lass niemanden herein!"

Und auf einmal ist Euer Laden halbvoll. Ihr fragt den Türsteher, was das denn sollte, und er sagt: "Die Leute hatten aber Einladungen. Ich hab niemanden herein gelassen. Ausser die, mit Einladungen".

So, wäre das, was ihr erwartet hättet?

Alex

 

[MacMännchen]

Habe ich auch nicht behauptet, dass das ein Statement zu Leopard ist. Du denkst also, es gilt nicht mehr?

Ich hatte es so verstanden, als käme diese Äusserung von Apple im Zusammenhang mit Leopard, sozusagen als neues feature.

Ich halte das nicht für ein feature im Sinne vorbeugender Sicherheit, weder zum damaligen Zeitpunkt, noch jetzt.

 

[benjii]

@ asg: Ich denke, wir drehen uns im Kreis. Hättest du andere Beiträge von mir hier gelesen, dann wüsstest du, dass ich sehr wohl ebenfalls der Meinung bin, dass die Bedienung der Firewall missverständlich ist und dass sie schlecht dokumentiert ist. Im Übrigen bin ich ebenfalls der Meinung, dass "blockiere alles" eben das bedeuten soll.

Dass das (noch) nicht so ist, ist schlecht, aber es ist kein gigantisches Risiko. Ich bin nicht der Meinung, dass die Leo-Firewall deswegen Würmern wie Sasser Tür und Tor öffnet oder mit ihrem applikationsbasierten Ansatz ähnliche üble Gefahren birgt.

Wenn du einer anderen Meinung bist und eine solche Gefahr siehst, dann gib' den Newbies hier im Forum doch bitte sofort Tipps, was sie machen können, um sich zu schützen – denn manche hier sind, wie du unschwer lesen kannst, sehr besorgt.

Im Übrigen darf ich dich jetzt noch abschließend auf den jüngsten Artikel in der c't verweisen, wo Autor Jürgen Schmidt – endlich - die applikationsbasierte Lösung näher erläutert. Von einem "Leopard in löchriger Rüstung" ist dort nicht mehr die Rede.

 

[benjii]

Ich halte das nicht für ein feature im Sinne vorbeugender Sicherheit, weder zum damaligen Zeitpunkt, noch jetzt.

Ich wollte nur darauf hinweisen, dass Apple diesen Tipp unter "Wie Sie die Sicherheit von OS X erhöhen können" gibt.

 

[MacMännchen]

@ benjii

schon klar. War jetzt auch kein Vorwurf gegen dich. Wenn, dann höchstens gegen Apple.