Die Firewall - Sinnvoll oder Sinnlos?!

Dieses Thema im Forum "Software" wurde erstellt von Radiostar, 2. April 2001.

  1. Radiostar

    Radiostar Gast

    Hallo,
    man hoert ja immer von der Firewall als Schutz gegen alles Boese und Fiese das aus dem Internet in den unschuldigen MAC (oder auch PC, obwohl der dann nicht unschuldig ist!) eindringen und Daten klauen oder zerstoeren will. Wie ist das denn nun - kann eine Firewall einen standalone Rechner der am Netz haengt vor Zugriffen schuetzen. Wenn ja, was sollte es sein: Eine Hard- oder Software Firewall...oder beides?!
    Da ich meinen MAC nun immer online (wg. Flatrate) lasse wuerde ich da gerne etwas Gewissheit haben, das mir da niemand auf der Kiste rumpfuscht wenn ich mal fuer ein paar Stunden nicht am G4 sitze...
    Ich hoffe, im Forum befindet sich ein Feuerwand - Fachmann!
    :-D

    Viele Gruesse,
    Radiostar
     
  2. Thomas Treyer

    Thomas Treyer New Member

    Hallo Radiostar,

    der Unterschied zwischen HW-Firewall und SW-Firewall besteht hauptsächlich in dem Ort, an dem sich der Firewall befindet. Der HW-Firewall sitzt zwischen dem Internet und einem kleinen (oder großen) Netz mehrerer Macs oder PCs. Der Firewall weiß dann genau, welche Pakete aus dem gefährlichen Internet kommen und welche Pakete von dem vertrauenswürdigen Mac von nebenan. Die Konfiguration ist deshalb recht einfach: Der Firewall darf nur Pakete durchlassen, die zu unkritischen Protokollen wie E-Mail oder HTTP gehören. Die Pakete, die von einem Mac zum anderen gehen, müssen den Firewall nicht passieren und gehen ihn auch nichts an.

    Befindet sich der Firewall als Software-Lösung in dem gleichen Mac, der auch geschützt werden soll, kann er nicht mehr so einfach unterscheiden, ob die Datenpakete vom Internet oder von einem anderen Mac des gleichen Netzes stammen. Alle Pakete kommen durch die gleiche Buchse (gut, bei Multihoming wäre das anders). Damit wird die Konfiguration viel schwieriger, wenn nicht sogar unmöglich. Jetzt muss bei den "gefährlichen" Protokollen wie z.B. Filesharing anhand der IP-Adressen ermittelt werden, ob die Pakete von Außen stammen und verworfen werden müssen oder ob sie von einem "befreundeten" Mac stammen und durchgelassen werden.

    Die Konfiguration eines SW-Firewalls ist deshalb eine schmale Gratwanderung. EIne zu strenge Einstellung verursacht abenteuerliche und sporadische Fehlermeldungen beim Drucken, Filesharing oder Netzwerkspielen, eine zu lockere Einstellung macht den Firewall fragwürdig. Die erhältlichen SW-Firewalls sind so eingestellt, dass sie fast alles durchlassen, um die User nicht über Gebühr zu verärgern. Hauptsache ist doch das beruhigende Gefühl. Das steht natürlich nicht im Verkaufsprospekt, ist aber Tatsache. Nur wer jedes IP-Paket in seinem Netzwerk kennt, kann so einen Firewall korrekt konfigurieren.

    In dem trivialen Fall, dass es nur einen Mac hinter dem Firewall gibt, sind beide Lösungen von der Position des Firewalls äquivalent. Dies spricht aber nicht für eine SW-Lösung, in diesem Fall braucht man überhaupt keinen Firewall. In diesem Fall ist Filesharing deaktiviert, und es laufen auch keine anderen Programme, die Pakete aus dem Internet annehmen. Auf einem Stand Alone Mac sind technisch gesehen keine kritischen TCP- oder UDP-Ports offen, wenn Filesharing, Application Sharing und Web Sharing deaktiviert sind. Oder kann jemand der Firewall-Fans so einen kritischen Port nennen, den ich vergessen habe? Dies ist keine rethorische Frage, ich bin hier echt an Antworten interessiert.

    Thomas
     
  3. Stevie

    Stevie New Member

    Diese Frage hat auch mein Herz bewegt : please see also (Thomas hat sich da auch schon überzeugend geäussert):
    http://62.96.227.71/cgi-bin/mac_forum/topic_show.pl?id=1554#6492
    .. inzwischen habe ich für meine Psyche und meiner Mitstreiter ein Internet -Security Kit (Norton) gekauft, aber bisher noch nich installiert - hab son Gefühl, dass man entweder sowieso besser dran ist als Mac 9-User, oder es hilft sowieso nix - (das Böse ist immer und überall, nur am Mac bischen weniger- ises nich so ?)
    Gruß
    Stevie
     
  4. Radiostar

    Radiostar Gast

    @Stevie:

    Also ich habe mir mal die ganze Sache durchgelesen und bin eigentlich zu dem Schluss gekommen, dass ich fuer mein gesurfe keine Firewall benoetige - aber - was ist mit ICQ. Das habe ich naemlich die ganze Zeit an, auch wenn ich nicht am MAC sitze. Wie funzt den dieses kleine Kommunikationstool? Vieleicht weiss da der Fachmann Thomas etwas Naeheres ! Obwohl ich fast glaube das Thomas ein von Billy gekaufter Hacker ist - der soll der MAC Gemeinde die Firewalls ausreden und dann alle MACs auf einmal sprengen....BUMM, oder Thomas hat einfach recht und ne Firewall ist fuers standalone Surfen Quatsch. Da waere ja bloss noch die ICQ Frage...?!
    :)

    Gruesse,
    Radiostar
     
  5. Stevie

    Stevie New Member

    @Radiostar..also sach nix gegen unseren Thomas, der hat uns schon manches mal in die Arche gehievt.. Spione gibts hier praktisch nicht.. die laufen alle nach einer Zeit über... Mit ICQ kenn ich mich nicht aus (reicht mein IQ nicht). Aber in echt : lass Deine Flat doch einfach nich den ganzen Tach laufen - is schliesslich auch nen Schutz oder ? und : ich schliesse immer alles (Websharing vor allem und die Voreinstellungen im Netscape Komuni- Universator) schnell..Stevie
     
  6. Radiostar

    Radiostar Gast

    ...war doch gar nicht so gemeint...tschuldigung... :-D

    Ich will ja meine Kiste ja auch nicht immer laufen lassen, aber was fuer Ports macht denn ICQ auf oder wie funzt das denn; ist es unsicherer als http?!

    Gruesse,
    Radiostar
     
  7. diablo

    diablo New Member

    hallo

    hab mir das auch nochmal alles durchgelesen
    inkusiv dem anderen thema

    das was über ports usw. gesprochen wurde
    sehe ich alles genau und gaub das das meiste auch richtig war

    will aber noch mal auf die programme für den mac zurückkommen
    habe die fw von norten und die fw netbarriere auspropiert und längere zeit laufen lassen

    die firewall von norten ist ansich nicht schlecht vorallem da sie idiotensicher zum einstellen ist da mann eigentlich gar nichts machen muß. da liegt aber genau der nachteil.
    einzelne ports kann mann hier nicht sperren
    sondern nur ip adressen
    zu steuern sind nur das filesharing , web sharing und der rest zusammengefasst
    falls mann die firewall drin hat
    laufen einige sachen nicht mehr
    zum beispiel hotline-server, icq-filetransfer
    surfen, mail ftp usw laufen schon normal
    fazit
    firewall protokoliert schön mit und es ist interessant wer da alles so anklopft. mich stört das mann keinen zugriff auf die einzelen ports hat .

    das netbarrier ist da viel härter und bietet wesentlich mehr optionen
    ports können vor allem in beiden richtungen getrennt freigeschaltet .

    drum sehe ich die netbarrier als wesentlich bessere lösung
    dafür muß mann auch mehr einstellen

    abgesehen davon
    dadurch , wie bereits gesagt der mac eigentlich fast keine ports offen hat ist er schon sicher
    vor allem der ftp und der telnet zugang sind schon große angriffs punkte die aber beim mac gar nicht vorhanden sind

    also wenn überhaupt dann das netbarrier
    oder wie seht ihr das???????

    würden mich auch interessieren ob ihr tools zum hacken für mac auf mac habt
    hab bis jetzt mal ein teil gefunden. das war eine systemerweiterung die wenn sie aber erst auf dem mac ist einen filetransfer von außen zulässt.
    ansonsten hab ich da noch nicht viel gesehen
    für mac auf pc gibts da echt eine menge software
    die auch manchmal funktioniert

    gruß
    diablo
     
  8. Stevie

    Stevie New Member

    netbarrier .. ? Wo gibts das und was kost es im Vergleich zu Dr. Nortons Feuerwand - ich merk schon, war ein Fehlkauf, wa ?. Gruß Stevie
     
  9. CosmicAlien

    CosmicAlien New Member

    Also wenn ich in mein Log sehe, stehen dort pro Tag min 6-10 Einträge von Leuten die einfach blind die IP´s durchscannen und Ports testen.

    Die meisten versuchen windows trojaner oder Lücken zu finden. Für den Mac also kaum relevant. Aber die könnten auch bei mir Schaden anrichten, da ich manchmal Timbukjtu oder andere Dinge laufen lasse.
    Daher ist die Firewall an, blockiert viele unnütze Ports und versteckt einige Rechner hier komplett, damit bin ich auf der sicheren Seite. Da ich eh einen Rechner als Router und Server laufen habe, also kein Problem.

    Tobias
     
  10. Crustaceae

    Crustaceae New Member

    ich habe gerade mal danach gesucht und z.B. http://www.brainworks.de bietet es für 153 DM an. Da ist es auch beschrieben.
    Es kommt von Intego.com; die bauen auch Filter damit Eure Holden nicht in Eurer Abwesenheit Schmuddelbildchen von nackten Männern angucken!

    Gruß! Boris!
     
  11. thd

    thd New Member

    buuuh filter buuuh !

    thd
     
  12. Piranha

    Piranha New Member

    >abgesehen davon , wie bereits gesagt der mac eigentlich fast keine ports offen hat ist er schon sicher

    Bei OS X sieht das leider ganz anders aus....
     
  13. Thomas Treyer

    Thomas Treyer New Member

    Hallo und eine Frage an die Firewall-Besitzer

    Ich habe in diesem Thread gelesen, dass der gute alte Norton nur IP-Nummern filtern kann. Stimmt das? Das wäre ja schlimmer als ich dachte. Ein richtiger Software-Firewall muss Mac-Adressen filtern !!!! Generell ist es so, dass ich als Absender eine beliebige IP-Adresse eintragen kann. Der Hacker, der von außen kommt, kann seine IP-Pakete bezüglich der IP-Adresse beliebig tarnen. Die IP-Adresse des Absenders ist also zum Filtern beliebig ungeeignet. Anders sieht es mit der MAC-Absendeadresse aus. Innerhalb eines Ethernet-Subnetzes ist die Mac-Adresse fälschungssicher. Wenn ich ein Netz von mehreren Macs habe, die über einen kleinen DSL-Router mit dem Internet verbunden sind, könnte ich anhand der MAC-Absendeadresse eindeutig ermitteln, ob das IP-paket von einem Mac des gleichen Netzes kommt oder nicht. Ich vermute mal, dass Symantec die MAC-Filterung auch anbietet, wenn der TCP/IP-Zugang auf einer Ethernet-Karte liegt.

    Hinweis zum Lesen: MAC ist der Media Access Layer von Ethernet und Mac ist eben Mac.

    Der Filtertrick mit den MAC-Adressen klappt nur, wenn ich über einen kleinen Router ins Internet gehe, der über Ethernet mit den Macs verbunden ist. Eine Wählleitung über PPP kennt natürlich keine MAC-Adressen.

    Wie gesagt, die Einstellung eines Firewalls ist sehr kitzlig und erfordert sehr viel idiotisches Fachwissen. Ich muss mich damit zur Zeit leider beruflich rumärgern, aber ein normaler Mac-User sollte sich damit nicht belasten müssen.

    Zu der Theorie, dass ich einen Großangriff auf alle Macs plane und deshalb möchte, dass alle Firewalls abgeschaltet werden: Das ist natürlich nur eine Theorie, aber wer weiß??

    Noch einen Hoffnungsschimmer für alle, die ihren Mac über einen kleinen Router oder über Surfdoubler ans Internet angeschlossen haben: Um einen Internet-Zugang für mehrere Macs zu nutzen, muss der Router oder eben Surfdoubler das NAT-Protokoll einsetzen. Ich weiß, dies ist wieder eine rätselhafte Abkürzung, die ausgeschrieben (Network Adress Translation) auch nicht viel aussagefähiger ist. Das Gute an NAT ist, dass es auch eine Filterfunktion wahrnimmt. NAT hat zuerst alle Ports zu und öfffnet nur diejenigen, die der Mac-User aktiv benutzt. Die Ports von NAT haben gewissermaßen nur auf einer Seite einen Türgriff. Ist eine Tür aber erst einmal auf, bleibt sie solange auf, bis entweder ein Timeout abgelaufen ist man den Router zurücksetzt (RESET). Leider können die Timeouts je nach Hersteller von wenigen Minuten bis mehrere Tage variieren. Aber egal, in den meisten Fällen filtert NAT viel besser als ein Firewall.

    Thomas
     
  14. maiden

    maiden Lever duat us slav

    So liebe ich es. Klare, saubere und wohl auch kompetente Antwort, GROß- und klein-Schreibung, dass mit ss, verständlich und durch eine sinnvolle Strukturierung mit Punkt und Komma übersichtlich geschrieben. Ein Beitrag, der Beispiel für viele andere sein sollte.
    Danke, wenn mich das Thema auch nicht besonders interessiert.
     

Diese Seite empfehlen