von Win auf OS umgestiegen und schon enteuscht

[ratti]

Was irgendwelche user sagen ist eine Sache.
Hinsichtlich der ipfw, die in Mac OS X enthalten ist, konnte ich solche Behauptung noch ich herstellerseitig eine soclhe Behauptung noch nicht finden.

An dieser Stelle müssen wir glaubich mal die Worte auf die Goldwaage legen:

"ipfw" ist für mich ein "Paketfilter" bzw. ein Tool zur Ansteuerung desselben. Daran ist nichts schlechtes. Gleiches gilt für ipchains, iptables und whatever.


Eine "Firewall" im korrekten Sinne wäre eigentlich ein komplettes Sicherheitskonzept inklussive Application Level Mechanismen, Malwarescanner etc. - von sowas reden wir hier gar nicht, dass ist mir auch 'ne Nummer zu groß.


Um was es mir geht, ist dieser Krempel, der als "Personal Firewall" verkauft wird. Darunter würde ich jetzt auch das Apple-PrefPane einordnen, das als Frontend zu ipfw dient (Aber nur das Frontend. Nicht ipfw selbst.)

- Diesen Dingern ist der von vornherein absurde Gedanke zugrundegelegt, man können einen Rechner "schützen" durch eine Software, die auf eben dem gleichen Rechner liegt. Das kann nicht sicher sein, wenn Software mit root-rechten installiert wird.

- Es werden Absurditäten angeboten wie "Stealth mode", damit der Anwender bei einem Probescan ein befriedigende Meldung in grüner Farbe erhält ("You computer is safe! 0 Ports open!"), die aber Netzwerktechnischen Realitäten in keinster Weise gerecht werden (arp-cache, defekte Pakete, spoofing, ipv6, cache poisening, gefakte nameserver, UDP, ...)

- Derartige Software soll eigentlich nur Fehlkonfigurationen hinter der Personal Firewall verbergen.

Um diesen Krempel geht es mir. Der taugt nix und ist deswegen gefährlich. Sieht man doch gut in diesem Thread - die Leute nageln die Tür zu und glauben, Spyware könne jetzt nicht mehr durchs Fenster gucken.


Gruß,
Ratti

 

[macmeikel]

Ich fass mal kurz zusammen:

- Registierung nach Installation: nach Belieben,
- CDRWs löschen mit Dienstprogramm,
- Antivirensoftware: ja, um zu verhindern, dass man verseuchte eMails weiterleitet,
- unerfahrener User, oder jemand der da nicht tiefer einsteigen will: Firewall aktivieren, sich aber nicht der Illusion hingeben, total geschützt zu sein,
- advanced User: händelt das frei nach Gusto, weil er weiss welche Dienste er deaktivieren muss...

wobei es bei der Firewall ja noch einige Meinungsverschiedenheiten gibt!

Ergänzung: Habe auf meinem PC Ubuntu installiert - da ist ebenfalls keine Firewall aktiviert, weil keine Dienste auf irgendwelchen Ports lauschen ...

 

[maceis]

An dieser Stelle müssen wir glaubich mal die Worte auf die Goldwaage legen

gerne

...
Eine "Firewall" im korrekten Sinne wäre eigentlich ein komplettes Sicherheitskonzept inklussive Application Level Mechanismen, Malwarescanner etc. - von sowas reden wir hier gar nicht, dass ist mir auch 'ne Nummer zu groß.
...

Ich weiss nicht, woher Du diese Definition des "korrekten Sinnes" nimmst.
Ich halte mich gerne an die Definitionen in "RFC 2828 - Internet Security Glossary".

...Um was es mir geht, ist dieser Krempel, der als "Personal Firewall" verkauft wird. Darunter würde ich jetzt auch das Apple-PrefPane einordnen, das als Frontend zu ipfw dient (Aber nur das Frontend. Nicht ipfw selbst.)

- Diesen Dingern ist der von vornherein absurde Gedanke zugrundegelegt, man können einen Rechner "schützen" durch eine Software, die auf eben dem gleichen Rechner liegt. Das kann nicht sicher sein, wenn Software mit root-rechten installiert wird.

Diese Aussage ist IMHO widersrpüchlich, da die ipfw, die Du oben ausschließt i. d. R. auf dem zu schützenden Rechner läuft.
Mir erscheint es dagegen auch wichtig darauf abzuheben, dass die typischen PFs im Userspace laufen während die ipfw beispielsweise im Kernelspace läuft.

Ich stimme Dir natürlich zu, dass der Schutz, den man erreichen kann, in direkter Abhängigkeit zum Verständnis von TCP/IP, Netzwerktopologie und diversen anderen Themen steht.
Trotzdem ist es nach meiner Ansicht nicht gerechtfertigt, $ONU für gänzlich unmündig zu erklären und/oder lokalen Portfiltern jegliche Daseinsberechtigung abzusprechen.
Pauschalisierungen sind hier IMHO ebenso falsch wie das Gefühl von (vollständiger) Sicherheit beim Einsatz einer Softwarefirewall (von denen ich übrigens auch nichts halte).

 

[Johnny007]

Eine Personalf Firewall dient imho nur dazu evtl. Programme am Nach-Hause-telefonieren zu hindern. Und selbst das umgehen mittlerweile Progs durch geschicktes Tunneln... (eines z.B. schickt das komplette Outlook-Adressbuch über Port 80 mit dem IE nach Hause - Firewall sinnlos, da IE auf 80 ja wahrscheinlich freigegeben ist!). Für den Rest würde ich den Vorrednern recht geben: alles abschalten was nicht gebraucht wird.

weitere Infos:
z.B. http://www.team-cauchy.de/personal/

@maceis
ich sagte "eventuell" und brachte auch ein Gegenbeispiel, inkl. eines Links der die Nutzlosigkeit einer PF nochmal verdeutlicht...

Was hätte ich Deiner Meinung nach noch sagen sollen???

CU
Johnny5

 

[ratti]

Diese Aussage ist IMHO widersrpüchlich, da die ipfw, die Du oben ausschließt i. d. R. auf dem zu schützenden Rechner läuft.

Aber eben als Paketfilter.
Es ist nichts dagegen zu sagen, port 80 auf 3128 umzuleiten, um einen Proxy zu erzwingen.

Es ist einiges dagegen zu sagen, port 80 zuzumachen, um Sicherheitsprobleme mit $WEBSERVER zu "lösen".

Es ist verdammt viel zu sagen gegen "*DROP".

Mir erscheint es dagegen auch wichtig darauf abzuheben, dass die typischen PFs im Userspace laufen während die ipfw beispielsweise im Kernelspace läuft.

Sicher? Ich habe mir so'n Teil nie von innen angucken können wg. closed source, aber abgesehen vom UI sollte ein PF doch auch im Kernelspace liegen.

Ich stimme Dir natürlich zu, dass der Schutz, den man erreichen kann, in direkter Abhängigkeit zum Verständnis von TCP/IP, Netzwerktopologie und diversen anderen Themen steht.
Trotzdem ist es nach meiner Ansicht nicht gerechtfertigt, $ONU für gänzlich unmündig zu erklären und/oder lokalen Portfiltern jegliche Daseinsberechtigung abzusprechen.
Pauschalisierungen sind hier IMHO ebenso falsch wie das Gefühl von (vollständiger) Sicherheit beim Einsatz einer Softwarefirewall (von denen ich übrigens auch nichts halte).

Das sehe ich anders. Personal Firewalls fangen ein paar Dinge ab, gefährden den Rechner aber wieder mehr wegen
- eigener Bugs
- erhöhter Komplexität
- falschem Sicherheitsgefühl
- falschem Ansatz

Deswegen würde ich hier pauschalisieren: Personal Firewalls sind immer schlecht. Niemand sollte eine verwenden.

Der kleinste Level für einen reinen Anwender ohne nennenswerte Kompentez sollte sein: ENTWEDER alle Dienste deaktivieren und fertig, ODER einen Router kaufen. Aber nicht dieses nix-halbes-und-nix-ganzes.


...und Apple sollte mal drüber nachdenken, die Sharing-PrefPane feiner zu tunen, damit man ALLE Dienste abschalten kann. Siehe ntp.

Gruß,
Ratti

 

[Thowe]

Ich armes Schwein habe seit Jahren auf meinen Windows PC keine Firewall, nur Virenscanner und die nötige Vorsicht beim surfen. Und bislang nichts auf den Rechner gehabt, was ich nicht auch haben wollte, schon traurig.

Naja, was Personal Firewalls angeht, das Hauptproblem wurde zwar schon angesprochen, aber man kann es nicht oft genug betonen: Sie lassen den Anwender glauben, das sie geschützt sind und deswegen handeln sie nur zu leicht sehr fahrlässig.

Anstatt eine Firewall sollten sie sich lieber verantwortliches Handeln installieren lassen und endlich aufhören Google mit "free teen porn" zu füttern und nicht auf jedes Werbebanner mit ner nackten Tussi klicken. Aber meine Lieblinge sind immer noch die kostenlosen Tools, die von kleinen Softwareschmieden stammen, kein GPL oder sonstetwas sind, aber dafür genau die Spione mitbringen, die echte Probleme schaffen können. Gegen diese mag eine Personal Firewall ja einen gewissen Grundschutz bieten, aber wirklich schützen tut sich der, der von beiden die Finger läßt.

Ein ordentlicher Virenscanner gehört aber definitiv auf jeden Windows PC! Da kann ich jeden nur raten, sich mal BitDefender anzuschauen.

Zum Thema, ich hatte es bei meinem Mini auch schon, dass das Laufwerk die CD gefressen hat. Shit happens, da bin ich froh, das wenigstens diese unsäglichen CDs mit dicken Siebdruck nicht mehr am Markt sind. Hatte schon das freudige Erlebnis von sowas beschossen zu werden, ein Glück das es nicht ins Gesicht ging. Da lobe ich mir doch das erste Mitsumi single speed CD-ROM Laufwerk mit Handbetrieb

Andersherum, vor kurzem ist meine "From Dusk till Dawn" ab 16 Version zerstückelt worden, das Laufwerk hatte geschmack! Die diente so oder so nur als Test DVD, denn als Film geht die Scheibe nicht mehr durch, wenn schon wesentlicher Inhalt weggeschnitten wird.

 

[marti]

ne ne das Os, war halt beim Mac Mini dabei.
mir ging es einfach und allein um Datenschutz, da ich keineLust mehr habe von
e-mails, Telefonanrufen und Werbepost bombadiert zu werden, außerdem
sollte es immer noch jeden seine Sache sein was man mit sein Rechner tut
deshalb geht es in meinen Augen niemanden was an was ich mit mein Rechner mache, auch nicht für "nur" Statistische zwecke
Aber das muss ja jeder selber wissen in wie weit er seine Daten weiter geben will.
Ich bin halt jemand, der diesen dingen kritisch gegenüber steht, da ich meine Daten für mich behalten will,
und ansgt vor missbrauch usw. im inet habe.

ich kann Dich absolut verstehen und bin auch Deiner Meinung!

Gruss
Marti

 

[maceis]

...
Es ist verdammt viel zu sagen gegen "*DROP".
...

An diesem kleinen Beispiel möchte ich noch mal erläutern, warum ich solche Pauschalisierungen für falsch halte.

Gegen "*DROP" ist IMHO nichts einzuwenden, wenn man weiss was das bedeutet.

Ich hätte z. B kein Problem damit gehabt, eingehende Pakete von bestimmte Adressen, die mir in den Logfiles meines Postfix äußerst unangenehm aufgefallen waren, unhöflich zu droppen.
Blöd wäre es nur gewesen, zu glauben, die anderen würden mich nicht mehr sehen, wenn ich mir die Augen (resp. den Mund) zuhalte.

Mein Ziel, nämlich diesen unerwünschten Verkehr bereits vor der Weiterleitung an den entsprechenden Dienst zu blocken, hätte ich aber mit "*DROP" genau so erreicht, wie mit dem höflicheren "*REJECT", welches ich damals gewählt hatte (mal ganz abgesehen davon, dass ich das damals auf den ACLs meines Routers erschlagen habe, was hier aber irrelevant ist).

...
Der kleinste Level für einen reinen Anwender ohne nennenswerte Kompentez sollte sein: ENTWEDER alle Dienste deaktivieren und fertig, ODER einen Router kaufen. Aber nicht dieses nix-halbes-und-nix-ganzes.

Also doch keine ipfw?

...
...und Apple sollte mal drüber nachdenken, die Sharing-PrefPane feiner zu tunen, damit man ALLE Dienste abschalten kann. Siehe ntp.

Man kann ntp doch abschalten - man muss nur wissen wo (Datum und Uhrzeit automatisch einstellen) .

 

[ratti]

An diesem kleinen Beispiel möchte ich noch mal erläutern, warum ich solche Pauschalisierungen für falsch halte.

Gegen "*DROP" ist IMHO nichts einzuwenden, wenn man weiss was das bedeutet.

Ich hätte z. B kein Problem damit gehabt, eingehende Pakete von bestimmte Adressen, die mir in den Logfiles meines Postfix äußerst unangenehm aufgefallen waren, unhöflich zu droppen.

So sehr ich das nachvollziehen kann und vor allem deine Emotionen dabei teile :.) ... http://www.aumund.org/node/1030 ... wenn man es mal entspannt betrachtet: Die Belästigung kann bequem zurückgewiesen werden, ohne dass man gleich alles Vernagelt und sich dann Gedanken über maximale Verbindungsanzahlen oder Masq-Tabellen machen muss.
Wobei ich das nicht verdammen möchte: Eine Regel, die $YOUR_IP auf $MY_IP droppt ist schon verlockend und akzeptabel.

Wogegen ich mich wende, ist dieses bescheuerte alles-und-jedes droppen. Und dann wohlmöglich auch noch auf einer dynamischen IP, was dann völlig Unschuldige trifft. Zum Beispiel Webspider, die foo.dyndns.bar hinterhercrawlen, wo dann stattdessen Mr. Hackcrusher mit seiner Asigurke eine "Attacke" durch Google abwehrt...

Blöd wäre es nur gewesen, zu glauben, die anderen würden mich nicht mehr sehen, wenn ich mir die Augen (resp. den Mund) zuhalte.

Ne, dazu musst du schon ein Handtuch um den Webserver wickeln.

Also doch keine ipfw?

ipfw auf dem Router(!), der als separate Firewall dahinterliegende Rechner schützt - ja.

ipfw auf der lokalen Kiste, um Netzwerkverkehr umzuleiten - ja.

ipfw auf dem lokalen Rechner, im Glauben, eben diesen Rechner zu schützen, möglicherweise sogar vor sich selbst - nein. Und auch nicht iptables oder ipchains oder ...

Man kann ntp doch abschalten - man muss nur wissen wo (Datum und Uhrzeit automatisch einstellen) .

Moment mal - das ist aber ein ntpclient. Was da auf dem Mac läuft, ist aber ein ntpserver. Ich war doch batz erstaunt, als ich feststellt, dass ich auf meinem Linuxrechner "ntpdate maclaptop" machen kann und eine Uhrzeit geliefert bekomme.

Gruß,
Ratti

 

[flippidu]

Ich armes Schwein habe seit Jahren auf meinen Windows PC keine Firewall, nur Virenscanner und die nötige Vorsicht beim surfen. Und bislang nichts auf den Rechner gehabt, was ich nicht auch haben wollte, schon traurig.

Magst Du es Dir lieber nicht nochmal überlegen und Dir doch noch besser einen Router holen?
Nur aus Interesse - hast Du mal Spybot oder Adaware Deine Systemplatte scannen lassen? Würde mich wirklich wundern, wenn die tatsächlich nichts finden sollten.

Sag Bescheid

Grüße,
Flippidu

 

[maceis]

...
Moment mal - das ist aber ein ntpclient. Was da auf dem Mac läuft, ist aber ein ntpserver.
...

Soviel zum Thema

...
Auf dem Mac lauscht nichts, was nicht lauschen dürfte. Alles prima. Kannst du nackt ins Netz hängen - keine Gefahr. Alles closed per default.
...

Da lauscht was , und der liebe ratti weiss nichts davon .

 

[Thowe]

Magst Du es Dir lieber nicht nochmal überlegen und Dir doch noch besser einen Router holen?
Nur aus Interesse - hast Du mal Spybot oder Adaware Deine Systemplatte scannen lassen? Würde mich wirklich wundern, wenn die tatsächlich nichts finden sollten.

Sag Bescheid

Grüße,
Flippidu

Einen Router habe ich seit meinen DSL-Anschluss, SMC war damals so frei mir einen zu schenken, allerdings, der ist schon so 4-5 mal ersetzt durch andere. Wobei die eher nicht vor ADWare und Co. schützen.

Spybot & Co. habe ich häufger laufen lassen, die haben nichts gefunden, was nicht schon seit der Installation auf der Platte war. Den Rest, die zahlreichen Viren per Email, hat der Virenscanner immer erlegt. Obwohl die mir auch nie hätten was können, da ich sicherlich kein Outlook und Co. nutzen würde.