von Win auf OS umgestiegen und schon enteuscht

[RETRAX]

vereinzelt werden sie auch als panda-cam widget vermarktet

rotfl


..................

 

[ratti]

Wer erzählt denn sowas. Steht das irgendwo in der Betriebsanleitung?

Jeder Firewallhersteller. 99% aller unbedarfter User.
Und "Stealth" widerspricht den guten Netzwerkmanieren, vermutlich sogar den RFCs.

Die Firewall unter Mac OS X ist IMHO ein Angebot, dass man nutzen kann, wenn man möchte oder eben nicht nutzt, wenn man das nicht möchte. Genauso, wie Dich beispielsweise niemand zwingt, in Safari Javascript abzuschalten oder so.

Ich sage, dass man i.d.R. keine Firewall braucht, und wenn man nix davon versteht, die Finger davon lassen sollte. Das ist ein guter Rat, den ich begründ(t habe). Was jeder letztlich macht, ist seine Sache (solange seine Fehlkonfigurationen meine Kiste nicht belästigen, z.B. weil sein "Stealth"-Schrott meint, Mails abschicken zu dürfen ohne Ident-Anfragen zu beantworten. K3wl, man, meine boX ist cloZed...)

Die Kofigurationsoberfläche, die in Systemeinstellungen > Sharing geboten ist, decken die Bedürfnisse von Benutzern ab, die sich nicht so tief mit der Materie beschäftigen möchten, aber beispielsweise gegen Freeware schützen möchten, die unbemerkt Ports öffnet.

Du installierst Software, der du nicht trauen kannst, und glaubst, eine Firewall schützt dich? Come on, das weisst DU doch nun wirklich besser. Gegen so eine Software gibt es keine Hilfe. Gar keine.

Was Deinen Scan angeht, mach doch mal:
nmap 192.168.0.252
bei abgeschalteten Diensten

Hatte ich doch oben schon. Keine offenen Ports.

und
nmap -sU 192.168.0.252

# nmap -sU 192.168.0.252

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-06-26 11:12 CEST
Interesting ports on client-252.local (192.168.0.252):
(The 1476 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
123/udp open|filtered ntp
427/udp open|filtered svrloc
MAC Address: 00:03:93:91:49:68 (Apple Computer)

Nmap finished: 1 IP address (1 host up) scanned in 62.693 seconds



Nichts, was mir das Herz bräche.
Wenn man auf der Kiste selbst per netstat nachuckt, sieht man noch ein bisschen ZeroConf und so. Nichts, was mir Angst macht und nicht tatsächlich auch verwendet würde.
Was ist die Alternative? Firewall drauhaun, alles zumachen? Ich sehe schon den Thread vor mir: "Kann andere Rechner im Netzwerk nicht finden!" Antwort: "Du musst in deiner Firewall Port x, y und z aufmachen." "Geil, jetzt geht's wieder!".
Sprich: Originalzustand des Rechners wieder hergestellt unter Einsatz einer zusätzlichen Software.


Ich hatte ja oben geschrieben, das Paketfilter durchaus Sinn machen /können/. Aber man muss wirklich wissen, ob, wo und warum.

Um mal einen berüchtigten Autovergleich heranzuziehen:
Ich muss nicht wissen, wie eine Bremse funktioniert. Aber ich muss soviel Zeit aufbringen, ihre Wirkung und Funktion zu erlernen, sonst baue ich im gemeinsamen Strassenverkehr Mist. Und ich sollte soviel KnowHow erlernen, dass ich jeden auslachen kann, der mir erzählen will, mit einer permanent getretenen Bremse wäre ich im Strassenverkehr sicher(er) - weil ja die meisten Unfälle mit bewegten Objekten passieren.


Das Netz ist voller Hilfeschreie: "Jemand scannt micht!" und "Ich habe mir eine Firewall installiert, und jetzt sehe ich viele Angriffe auf Port 113! Bin ich own3d?" und "Dauernde ssh Loginversuche! Hilfe, Hilfe, HILFE!!!1111einseinself"

Ja, und?
1. Dann scannt dich eben jemand. Du hast doch nichts gefährliches rausgehängt, ODER?
2. Ach, und bei der Gelegenheit machst du Port 113 bitte ganz schnell auf, der ist nämlich für solche Rückfragen gedacht.
3. Warum läuft bei dir ssh? Schalt es doch ab. Ach du, *brauchst* es? Dann ist dein Passwort also unsicher? Ach, ist es nicht? Ja, wo ist denn das Problem, wenn irgendwer versucht, mit "guest" und "test" reinzukommen. Alles paletti, oder?


...und, ehrlich gesagt, sehe ich nicht so ganz den Anwenderkreis, der "advanced" genug ist, Dienste rauszuhängen, gleichzeitig aber so sehr "Anfänger", dass er eine 8-Häkchen-Firewall braucht... Ferrari mit Hutablage?

Gruß,
Ratti

 

[ratti]

Danke für den Hinweis, aber ich bezog mich auf FWs im Allgemeinen und meinte hier nicht die OS X-interne Firewall.

Paket geht raus an feedback.evilcompany.foo auf port 80. Bei denen lauscht auf diesem Port kein normaler Webserver, sondern deren Feedbacksoftware.

Was willst du denn dagegen machen?

Port 80 blockieren - dann wärst billiger weggekommen, wenn du statt eines Macs zum surfen einen Ziegelstein gekauft hättest. Dann ist nämlich das komplette Web weg.


feedback.evilcompany.foo blockieren? Und feedback2.evilcompany.foo, und feedback120.evilcompany.co.tw? Und alle Lastverteilungsanbieter im Netz - hoppla, guck mal, wo Apples Softwareupdates herkommen. Akamai. Shit, geht auch nicht.



Genau das ist das Problem mit Personal Firewalls:

- Ohne sie glaubst du, Malware könnte dich verarschen - und sie tu es auch.
- Mit Firewall glaubst du, jetzt wärst du sicher. Und bist es aber gar nicht.

Resultat: Du stehst schlechter da als vorher.


Gruß,
Ratti

 

[nord-rider]

Ich möchte keinem Switcher (außer nord-rider) zu nahe treten, aber manchmal glaube ich, das der Switch direkt nach der Beendigung des Kindergartens vollzogen wurde.

Dazu trägt auch das sprachliche Niveau bei. Da bin ich doch etwas ""enteuscht""

So und nun haut auf mich drauf, von wegen elitärer, eingebildeter, überheblicher Mac User (der übrigens auch viele PC´s hat).

so long avalon

sorry,
aber Du kommst dir bestimmt besonders Intiligend vor oder???
Weil Du ein paar 100 Beiträge bzw. Posts geschrieben hast.
Solche Typen liebe ich ja.
Sorry aber vielleicht hat es ja auch hintergründe ich bin Legastheniker
und kann somit nicht so gut schreiben wie alle anderen, allerdings
habe ich es weit gebracht und besitze eine gut gehende Firma
und das alles auch ohne enttäuscht richtig schreiben zu können.
Schön das du ein paar Fremdausdrücke wie z.B. Niveau, elitärer usw. zum ausdruck gebracht hast
Jetzt bist Du bestimmt besonders schlau.
Und ja Du bist ein elitärer, eingebildeter, überheblicher Mac User.
Schde das es immer noch solche Leute wie dich gibt die sich wegen ein paar beiträgen als was besonderes halten.
Sorry aber das musste ich jetzt los lassen, denn solche Leute habe ich gefressen,
Denn diese Leute bringen mit ihren absolut klugen sprüchen die unruhe ins Forum.
Schuldigung das ich erst 10 beiträge geschrieben habe.

 

[theonehorst]

Warum gibts du denn da nicht deine Date ein, wenn Du es gekauft hast....? Es wird garantiert keine Apple-Vertreter bei dir vor der Tür stehen um dir ne iPod zu verkaufen...
Oder hast du etwa ein OS aufgespielt, was Dir nicht gehört?

EDIT: Ich will da aber nichts unterstellen....

 

[nord-rider]

ne ne das Os, war halt beim Mac Mini dabei.
mir ging es einfach und allein um Datenschutz, da ich keineLust mehr habe von
e-mails, Telefonanrufen und Werbepost bombadiert zu werden, außerdem
sollte es immer noch jeden seine Sache sein was man mit sein Rechner tut
deshalb geht es in meinen Augen niemanden was an was ich mit mein Rechner mache, auch nicht für "nur" Statistische zwecke
Aber das muss ja jeder selber wissen in wie weit er seine Daten weiter geben will.
Ich bin halt jemand, der diesen dingen kritisch gegenüber steht, da ich meine Daten für mich behalten will,
und ansgt vor missbrauch usw. im inet habe.

 

[Macuser30]

Hallo, mal eine dumme Frage zur Firewall....... wenn man hinter einem Router hängt, benötigt man doch so was nich??? Oder? Ich habe nähmlich noch eine alte Win98-Dose dahinter hängen....irre ich mich da?

 

[ratti]

Warum gibts du denn da nicht deine Date ein, wenn Du es gekauft hast....?

Muss man jetzt schon begründen, warum man seine Daten NICHT rausgeben will? Na, weil sie keinen was angehen. Warum sollte man?

Gruß,
Ratti

 

[macmeikel]

Hallo, mal eine dumme Frage zur Firewall....... wenn man hinter einem Router hängt, benötigt man doch so was nich??? Oder? Ich habe nähmlich noch eine alte Win98-Dose dahinter hängen....irre ich mich da?

Vorausgesetzt Du hast die Router-Firewall aktiviert, sollte das für den Win98-Rechner reichen ...

 

[Elbe]

Ist auch richtig, daß man seine persönlichen Daten nicht ungefragt überall verteilt. Im konkreten Fall ist es so, daß Du besser fährst, die richtigen Daten einzugeben, Dein Name wird dann z.B. von Anwendungssoftware gleich dort eingesetzt, wo er hingehört (Absender etc.)

In einem weiteren Schritt kannst Du entscheiden, ob diese Daten auch an Apple gehen sollen oder nicht. Ich habe dort "nein" gesagt. Ob das dann wirklich nicht gesendet wird, kann ich natürlich nicht kontrollieren, bin aber gewillt, das zu glauben, bis mir das Gegenteil bewiesen wird.

 

[ratti]

Hallo, mal eine dumme Frage zur Firewall....... wenn man hinter einem Router hängt, benötigt man doch so was nich??? Oder? Ich habe nähmlich noch eine alte Win98-Dose dahinter hängen....irre ich mich da?

Ein "Router" ist ein Stück Hard/Software, das Datenpakete weiterleitet, umleitet, blockt. Eine "Firewall" blockt. Insofern ist das alles ähnlicher Kram mit tollen Marketingnamen. Deswegen spricht man meist von einem "Paketfilter". Der ist dann alles: Firewall, Router, ...

Dein Router verhindert, das $BÖSES_PROGRAMM direkt von draussen auf deine Kiste verbindet.

Dein Router verhindert nicht, dass deine Win98-Kiste z.B. durch Outlook- oder IE-Exploits aufgemacht wird und dann selbst Malware aus dem Internet nachlädt oder einen Tunnel implementiert, der dann in beiden Richtungen läuft.


Mit anderen Worten: Du hast ein paar Probleme weniger. Das größte Problem ist aber Windows98, und daran ändert dein Router nichts. Hast du den Dieb bereits im Haus, nützen die Minen im Garten nichts.


Gruß,
Ratti

 

[ratti]

Vorausgesetzt Du hast die Router-Firewall aktiviert, sollte das für den Win98-Rechner reichen ...

Nur für Frontalangriffe. Die sind aber sowieso eher selten.

Für den Fall, dass er den Rechner benutzt, um damit nach draussen zu kontakten (Mail, Web, Peer2peer, ...) , nützt ihm der Router herzlich wenig. Weder filtert der Router Exploits, noch verhindert er ein Nachladen von Malware durch diese Exploits.

Gruß,
Ratti

 

[BenBuch]

Ist es nicht so, dass, um den Apple Support nutzen zu können der Rechner registriert sein muss? Beim Support wurde ich jedenfalls immer nach der Seriennummer des Gerätes gefragt, und wenn noch keine Registrierung erfolgt war, wurde das telefonisch nachgeholt...

Ben

 

[nord-rider]

Muss man jetzt schon begründen, warum man seine Daten NICHT rausgeben will? Na, weil sie keinen was angehen. Warum sollte man?

Gruß,
Ratti

Richtig Ratti!!!
darum geht es mir.

 

[Macuser30]

Ich habe eigentlich gar nichts eingestellt am Router....mal schauen wo man die aktiviert....ist ein netgear-Kabelrouter....

 

[macmeikel]

Nur für Frontalangriffe. Die sind aber sowieso eher selten.

Für den Fall, dass er den Rechner benutzt, um damit nach draussen zu kontakten (Mail, Web, Peer2peer, ...) , nützt ihm der Router herzlich wenig. Weder filtert der Router Exploits, noch verhindert er ein Nachladen von Malware durch diese Exploits.

Gruß,
Ratti

O.k. Ein Tool wie Spybot Search&Destroy plus aktuellen Virenscanner habe ich stillschweigend vorausgesetzt ...

 

[ratti]

O.k. Ein Tool wie Spybot Search&Destroy plus aktuellen Virenscanner habe ich stillschweigend vorausgesetzt ...

Nützt auch nur teilweise, weil die Exploits die auch abschalten können. EIn lokales Programm mit root-Rechten kann auf dem Rechner schalten und walten, wie es will.

Es gibt einfach nur eine Form Sicherheit:
- Abschalten, was nicht gebraucht wird
- Absichern, was gebraucht wird
- Möglichst sichere Programme verwenden
- OpenSource-Software nehmen

Alles andere sind Matratzen am Fuss der Klippe statt Zäune auf ihr.

Gruß,
Ratti

 

[Johnny007]

Dann stimmts erst recht nicht .
Eine Möglichkeit sich zu informieren findest Du im Artikel Warum Desktop Firewalls nichts taugen
Sehr aufschlussreich auch die Demonstration des Chaos Computer Club Ulm von Anfang diesen Jahres oder Ende desd vergangenen.

sowie @ratti:

lest ihr auch die vorangehenden Posts...???
Ich hatte das Gleiche gesagt wie Ihr - siehe auch mein Link.


CU
Johnny5

 

[maceis]

Jeder Firewallhersteller. 99% aller unbedarfter User.
...

Was irgendwelche user sagen ist eine Sache.
Hinsichtlich der ipfw, die in Mac OS X enthalten ist, konnte ich solche Behauptungen herstellerseitig noch nicht finden.

...
Nichts, was mir das Herz bräche.
...

Mir auch nicht; es relativiert lediglich die Aussage "Alles zu by default".

427 /tcp ist bei mir übrigens auch dann offen, wenn alles "Dienste" aus sind.
Unter Panther waren auch 631/udp und 514/udp (und ich glaube noch irgendetwas) offen, ohne dass es erforderlich gewesen wäre.

 

[maceis]

...
lest ihr auch die vorangehenden Posts...???
Ich hatte das Gleiche gesagt wie Ihr - siehe auch mein Link.
...

Nein, hast Du nicht.
Du sagtest, ein PF hindere Programme am "calling home".
Das ist definitv falsch.