Netzwerksicherheit Mac OS 10.8 / IPV6 deaktiviere

[Misterzde]

Hallo zusammen,

ich bin seit jahren zufriedener Mac-Benutzer und möchte mich jetzt ein wenig mit der Sicherheit befassen. Ich betreibe meinen iMac direkt am Kabelmodem, daher möchte ich das Netzwerk meines Macs zum Internet hin absichern.

Soweit ich das richtig verstehe, schottet die Applikations-Firewall von Mac OS nicht das Netzwerk an sich ab - sondern nur einzelne Applikationen.

Per Default sind auf meinem Mac sehr viele Ports offen/vorhanden, insbesondere viele UDP-Ports:

tcp4 0 0 127.0.0.1.631 *.* LISTEN
tcp6 0 0 ::1.631 *.* LISTEN
udp6 0 0 *.51567 *.*
udp4 0 0 *.51567 *.*
udp6 0 0 *.60936 *.*
udp4 0 0 *.60936 *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.51241 *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp4 0 0 *.* *.*
udp6 0 0 *.51921 *.*
udp4 0 0 *.51921 *.*
udp6 0 0 *.54809 *.*
udp4 0 0 *.54809 *.*
udp4 0 0 46.223.251.126.123 *.*
udp6 0 0 ::1.123 *.*
udp4 0 0 127.0.0.1.123 *.*
udp6 0 0 fe80::1%lo0.123 *.*
udp6 0 0 *.123 *.*
udp4 0 0 *.123 *.*
udp6 0 0 *.5353 *.*
udp4 0 0 *.5353 *.*
udp46 0 0 *.* *.*
udp4 0 0 *.138 *.*
udp4 0 0 *.137 *.*

Zunächst wollte ich IPV6 deaktiveren, da ich es nicht benötigte. Dazu gibt es folgende Anleitung:

http://help.unc.edu/help/how-do-i-disable-ipv6-on-mac-os-x/

Leider wird dadurch aber nur das TCP-Protokoll deaktiviert, UDP bleibt weiterhin aktiv.

Wie kann ich IPV6 komplett deaktivieren? Habe dazu leider nichts im Netz gefunden.

Kann ich alternativ auch einzelne "Services" deaktivieren? So brauche ich z.B. Netbios nicht, das sind die Ports 137 und 138. Gibt es da eine Möglichkeit bei Mac OS?

Vielen Dank!

P.S. Hintergrund ist unter anderem, dass ich seltsame Einträge in /var/log/appfirewall.log habe, z.B.:

Apr 4 21:17:16 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to UDP 46.223.251.xxx:56455 from 77.21.224.xxx:15880
Apr 4 21:17:17 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to TCP 46.223.251.xxx:3306 from 89.248.172.xxx:17222
Apr 4 21:17:26 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to UDP 46.223.251.xxx:56455 from 77.21.224.xxx:5880
Apr 4 21:17:31 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to UDP 46.223.251.xxx:56333 from 78.42.43.xxx:53
Apr 4 21:19:54 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to TCP 46.223.251.xxx:8090 from 222.186.21.xxx:55552
Apr 4 21:21:06 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to UDP 46.223.251.xxx:22334 from 41.224.249.xxx:53
Apr 4 21:25:23 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to TCP 46.223.251.xxx:443 from 62.94.61.xxx:62651
Apr 4 21:25:24 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to TCP 46.223.251.xxx:443 from 62.94.61.xxx:62652
Apr 4 21:26:04 hsi-kbw-46-223-251-126.hsi.kabel-badenwuerttemberg.de socketfilterfw[106] <Info>: Stealth Mode connection attempt to TCP 46.223.251.xxx:8080 from 1.161.29.xxx:12200

 

[pmau]

Da Du Deinen Mac quasi direkt zum Teil des Internets machst, hilft Dir folgende Seite:

http://blog.scottlowe.org/2013/05/15/using-pf-on-os-x-mountain-lion/

Dazu vielleicht noch sämtliche BSD basierten Tutorials zu "pfctl".
Einfach mal "pfctl tutorial" googeln.

 

[Misterzde]

Puh!

Da Du Deinen Mac quasi direkt zum Teil des Internets machst, hilft Dir folgende Seite:

http://blog.scottlowe.org/2013/05/15/using-pf-on-os-x-mountain-lion/

Dazu vielleicht noch sämtliche BSD basierten Tutorials zu "pfctl".
Einfach mal "pfctl tutorial" googeln.

Puh, das sieht ja ganz schön kompliziert aus. Ich schaue es mir mal an.

Mache sonst auch Windows und Linux, da kann ich IPV6 auch komplett deaktivieren. Das muss doch auch irgendwie bei Mac gehen. Braucht ja der normale Endanwender gar nicht....

 

[pmau]

IPv6 kannst Du einfach so deaktivieren, aber Deine Log Einträge von oben sind ganz "normale" IPv4 connect Versuche.
Solltest Du also aus Versehen mal einen IPv4 Listener starten, hast Du so schon ein Problem.

Die Application Firewall funktioniert übrigens nur auf Basis der Bundle ID der Applikation.
Ein Listener eines Unix Tools würde Dir so nie auffallen.
Kannst Du mit netcat testen.
Da sagt die Firewall nichts.

 

[Misterzde]

IPv6 kannst Du einfach so deaktivieren, aber Deine Log Einträge von oben sind ganz "normale" IPv4 connect Versuche.
Solltest Du also aus Versehen mal einen IPv4 Listener starten, hast Du so schon ein Problem.

Die Application Firewall funktioniert übrigens nur auf Basis der Bundle ID der Applikation.
Ein Listener eines Unix Tools würde Dir so nie auffallen.
Kannst Du mit netcat testen.
Da sagt die Firewall nichts.

Hmm, netcat muss ich mal schauen, ist nicht im Default-Pfad des Root-Users.

Ich habe zwischenzeitlich mit der Hilfe des Internets ein Firewall-Script gebaut:

http://help.unc.edu/help/how-to-configure-a-firewall-for-mac-os-x-ipfw-for-snow-leopard/

Auch so eine komische Autostart-Html-Plist gebaut.

Funktioniert prinzipiell für IPV4 mit ipfw.

0100 allow ip from any to any via lo*
00110 allow tcp from any to any established
00120 allow tcp from any to any out keep-state
00130 allow udp from any to any out keep-state
00131 allow udp from 78.42.43.62 53 to any dst-port 1024-65535 keep-state
00132 allow tcp from 78.42.43.62 53 to any dst-port 1024-65535 keep-state
00133 allow udp from 82.212.62.62 53 to any dst-port 1024-65535 keep-state
00134 allow tcp from 82.212.62.62 53 to any dst-port 1024-65535 keep-state
00139 allow icmp from any to any out
00140 allow udp from any to any dst-port 53
00150 allow udp from any to any dst-port 67
00160 allow udp from any to any dst-port 68
65530 deny tcp from any to any in
65531 deny udp from any to any in
65532 deny ip from any to any in
65535 allow ip from any to any

Leider noch nicht für IPV6, denn dafür gibt es ip6fw und per Default ist da auch alles offen:

LaunchDaemons root# ip6fw list
65535 allow ipv6 from any to any

Muss ich noch "schauen".

Mit sysctl -A habe ich leider auch keine Variable entdeckt, die IPV6 komplett abschalten würde....

 

[pmau]

Wenn Du in den normalen Systemeinstellungen IPv6 auf Link Local onlz stellst, hast Du nur noch lokale Adressbereiche.
So wie bei localhost auch. Komplett abschalten brauchst Du dann nichts, es kommen ja sowieso keine IPv6 Pakete rein.

Es gibt auch noch

sudo networksetup -listallnetworkservices
sudo networksetup -setv6off <name>z

z.B

sudo networksetup -setv6off "Ethernet"

 

[Misterzde]

Wenn Du in den normalen Systemeinstellungen IPv6 auf Link Local onlz stellst, hast Du nur noch lokale Adressbereiche.
So wie bei localhost auch. Komplett abschalten brauchst Du dann nichts, es kommen ja sowieso keine IPv6 Pakete rein.

Es gibt auch noch

sudo networksetup -listallnetworkservices
sudo networksetup -setv6off <name>z

z.B

sudo networksetup -setv6off "Ethernet"

networksetup -setv6off "Ethernet" habe ich ja gemacht, aber dann bleiben die UDP-Ports weiterhin aktiv, nur TCP wird deaktiviert. Deshalb war ja die Frage, ob IPV6 komplett deaktiviert werden kann....

 

[pmau]

das spielt keine rolle ...
gute nacht

 

[oglimmer]

Ich betreibe meinen iMac direkt am Kabelmodem, daher möchte ich das Netzwerk meines Macs zum Internet hin absichern.

Darf ich mal fragen was das heißt?

a) du hast ein Kabelmodem (das auch nur ein Modem, kein Router ist) am Mac und der Mac hat dadurch eine öffentliche IP?

b) du hast ein "Kabelmodem" in dem aber eigentlich ein Router drin steckt und dein Mac hat keine öffentliche IP, weil das "Kabelmodem" (also der Router darin) NAT macht.

 

[Tzunami]

Wau, du klemmst dich ohne NAT oder Hardwarefirewall ans Internet? Du bist aber mutig.

Ich habe mal meine Hardwarefirewall ausgewertet, und täglich werden hier bestimmt 200 Versuche unternommen, einen offenen Port zu finden und zu stürmen.

Mein Rat, schalte einen Router hinter das Modem, oder wenn das nicht geht (Provider will Daten nicht rausrücken) eine Firewall zwischen Modem und Netzwerk installieren.

Hier kannst du erst mal gucken wie bei dir überhaupt die Lage ist, und ob Ports nach aussen offen sind:
http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

 

[Misterzde]

Darf ich mal fragen was das heißt?

a) du hast ein Kabelmodem (das auch nur ein Modem, kein Router ist) am Mac und der Mac hat dadurch eine öffentliche IP?

b) du hast ein "Kabelmodem" in dem aber eigentlich ein Router drin steckt und dein Mac hat keine öffentliche IP, weil das "Kabelmodem" (also der Router darin) NAT macht.

Ich habe von Kabel-BW ein "ARRIS TM 722" zur Verfügung gestellt bekommen. Ein Kabelmodem mit Ethernet- und USB-Anschluss. Ansonsten mit Fernwartugs- und "Fern-Flash"-Funktionen ;-). Das kann ich auch nicht einfach austauschen, da meines Wissens das Kabelmodem an den Kunden gebunden ist.

Den Computer direkt an dem Kabelmodem zu betreiben, ist für einen kleinen Privathaushalt völlig normal.

Von daher sollte das Betriebssystem des verwendeten Computers (netzwerkseitig) möglichst sicher sein. Und auch ein Router würde nicht 100% sicher sein, denn dort sind in letzter Zeit ebenfalls sehr viele Sicherheitslücken bekannt geworden.

Von daher meine Idee bei Mac OS möglichst viele Protokolle (IPV6) und Services zu deaktivieren, denn was nicht da ist, kann auch keine Sicherheitslücken beinhalten.

Kann bei Mac OS der Endanwender die gestarteten Netzwerkdienste überhaupt konfigurieren? (Netbios, IPV6?) Dies geht bei Windows und Linux

 

[Misterzde]

Möglicherweise ist Netbios abstellbar, die Kontrolle der Services erfolgt bei Mac OS angeblich über launchctl:

elixs-iMac:sbin root# launchctl list |grep net
- 0 com.apple.networkd_privileged
103 - com.apple.networkd
- 0 com.apple.netbiosd
- 0 com.apple.netauth.sys.gui
- 0 com.apple.netauth.sys.auth
- 0 com.apple.msrpc.netlogon

Dort gibt es einen Netbios-"Daemon", der gestoppt werden könnte. Aber was passiert dann? Ist das irgendwo dokumentiert? Ist die Deaktivierung dann auf Dauer oder wird der Service nur temporär gestoppt?

 

[oglimmer]

Den Computer direkt an dem Kabelmodem zu betreiben, ist für einen kleinen Privathaushalt völlig normal.

Da liegst du falsch.

Das machen 2 Arte von Leuten:

* Gefahrensucher
* Leute die keine Ahnung haben

Kauf die ein 50€ Wifi-Access-Point (auch wenn du Wlan ausschaltet und nur den Router davon verwendest) und gut ist.

 

[Misterzde]

Da liegst du falsch.

Das machen 2 Arte von Leuten:

* Gefahrensucher
* Leute die keine Ahnung haben

Kauf die ein 50€ Wifi-Access-Point (auch wenn du Wlan ausschaltet und nur den Router davon verwendest) und gut ist.

Sagt wer? Homer Simpson?

Es ist naiv anzunehmen, dass ein Router sicher sei. Dort kann ich die Firewall-Logs im Normalfall gar nicht einsehen bzw. habe keinen "Root-Zugriff" auf das Device.

 

[oglimmer]

Wir müssen darüber nicht streiten, war nur meine Meinung (und die kann sicher auch falsch sein).

 

[pmau]

Ich habe auch jahrelang einen Linux Rechner als PPPoE Gateway betrieben.
Man ist viel flexibler was VPN, DNS, Transparente Proxies und Firewall Settings angeht. (Ratel-Lmiting, Port Knocking, eignes DynDNS, usw.)

Ob ich OSX dafür allerdings nehmen würde, weiss ich auch nicht.

Ein Router macht auch nichts anderes und eine "Hardware" Firewall gibt es sowieso nicht.
Ich würde mir einen Switch mit VLAN Tagging hinstellen, einen Gateway Rechner mit einem Linux hinstellen und gut ist.

Man kann auchg einfach mal Hinweise geben ohne sofort jede persönliche Präferenz zu kritisieren.

 

[Misterzde]

Ich habe auch jahrelang einen Linux Rechner als PPPoE Gateway betrieben.
Man ist viel flexibler was VPN, DNS, Transparente Proxies und Firewall Settings angeht. (Ratel-Lmiting, Port Knocking, eignes DynDNS, usw.)

Ob ich OSX dafür allerdings nehmen würde, weiss ich auch nicht.

Ein Router macht auch nichts anderes und eine "Hardware" Firewall gibt es sowieso nicht.
Ich würde mir einen Switch mit VLAN Tagging hinstellen, einen Gateway Rechner mit einem Linux hinstellen und gut ist.

Man kann auchg einfach mal Hinweise geben ohne sofort jede persönliche Präferenz zu kritisieren.

Naja, man könnte meiner Meinung nach auch einfach mehr auf der Seite von Mac OS X machen....

Wenn man sich zuletzt bei Mac OS X 10.8.5 die zuletzt hinzugefügten Launch-Daemons anschaut, sieht man meiner Meinung nach die Prioritäten, die Apple im Jahr 2013 hatte:

-rw-r--r-- 1 root wheel 518 Mar 28 2013 com.apple.weibod.plist
-rw-r--r-- 1 root wheel 681 Mar 28 2013 com.apple.twitterd.plist
-rw-r--r-- 1 root wheel 534 Mar 28 2013 com.apple.sociald.plist
-rw-r--r-- 1 root wheel 657 Mar 28 2013 com.apple.SubmitDiagInfo.xpc.plist
-rw-r--r-- 1 root wheel 533 Mar 28 2013 com.apple.SubmitDiagInfo.plist
-rw-r--r-- 1 root wheel 522 Mar 28 2013 com.apple.ContainerRepairAgent.plist
-rw-r--r-- 1 root wheel 994 Mar 28 2013 com.apple.AirPlayUIAgent.plist
-rw-r--r-- 1 root wheel 563 Apr 23 2013 com.apple.WebKit.PluginAgent.plist
-rw-r--r-- 1 root wheel 1207 Jul 21 2013 com.apple.AirPortBaseStationAgent.plist
-rw-r--r-- 1 root wheel 2008 Nov 24 2013 com.apple.bluetoothAudioAgent.plist
-rw-r--r-- 1 root wheel 1121 Nov 24 2013 com.apple.screensharing.agent.plist
-rw-r--r-- 1 root wheel 618 Nov 24 2013 com.apple.screensharing.MessagesAgent.plist
-rw-r--r-- 1 root wheel 715 Nov 24 2013 com.apple.RemoteDesktop.plist
-rw-r--r-- 1 root wheel 547 Nov 24 2013 com.apple.java.updateSharing.plist
-rw-r--r-- 1 root wheel 551 Nov 24 2013 com.apple.java.InstallOnDemand.plist
drwxr-xr-x 146 root wheel 4964 Jan 10 2014 .
drwxr-xr-x 77 root wheel 2618 Jan 14 2014 ..
hsi-kbw-109-192-209-252:LaunchAgents root#

Social Media, Bluetooth, Airport, Remote-Desktop, Screensharing, etc.

In Sicherheit wurde wohl eher wenig investiert - man hätte z.B. auch ein Frontend für die Firewall bauen können oder in diesem Bereich eine saubere Dokumentation / Anleitung seitens Apple anbieten können. Ich nehme an, dass Tim Cook da einfach persönlich andere Präferenzen / Interessen hat als Steve Jobs sie hatte...

;-)