Firewall Ja/Nein/ - oder?

Dieses Thema im Forum "Software" wurde erstellt von MWdigitalart, 7. Mai 2004.

  1. MWdigitalart

    MWdigitalart New Member

    Guten Morgen:

    ich habe mich gestern mit einem Win-User unterhalten, der hat jeden Tag etwa 10-100 Angriffe auf sein System.
    Er behauptet, dass der Mac genauso ausgespäht wird und empfiehlt mir eine zusätzliche Firewall zu der Mac Internen.

    Was ist an diesem Gerücht dran?
    Muß ich mir jetzt Gedanken machen, dass Irgeneiner mein System ausspioniert.

    Ich surfe mit Modem ganz altmodisch!

    Grüsse MW
     
  2. AndreasG

    AndreasG Active Member

    Du brauchst bestimmt keine Firewall.

    Auf dem Mac kann nichts ausspionoiert werden, weil solche Spionage-Software unter OSX gar nicht laufen kann, weil es immer Windows-Code ist. Du kannst also nur schmunzeln, wenn auf einmal eine Datei mit Namen "blablabla.exe" auf Deinem Desktop landet. Beim Win-Kollege würde jetzt ein Programm unsichtbar ausgeführt.

    Sicherheitslöcher, durch welche ein Angreifer Zugriff auf Dein Dateisystem haben könnte, gibt es natülich auch bei Apple, nur ist es einfach so, dass Unix auch mit Sicherheitslöchern für Angreifer viel mehr Hürden in den Weg stellt und es mehr Fachwissen erfordert, diese Hürden zu überwinden.

    Zudem stopft Apple diese Sicherheitslöcher sehr schnell und Apple-User haben die Angewohnheit, Apples Patches sofort aufzuspielen - im Gegensatz zu Windows-Usern, die darauf meist viel weniger Wert legen oder gar nicht mehr dazu kommen, weil sich ein Wurm schneller verbreitet, als Patches aufgespielt werden können. Ein schönes Beispiel ist der aktuelle "Sasser"-Wurm. Den Patch von MS, der das Loch stopfen würde, gibt es schon seit Anfang April, aber trotzdem hat der Wurm leichtes Spie.

    Wenn Du per Modem unterwegs bist, also nicht permanent verbunden ist, kannst Du Dir jeglichen Aufwand sparen, deinen Mac zu schützen. Bei (A)DSL hingegen reicht es, Apples eingebaute FireWall-Software zu aktivieren. Mehr zu investieren erachte ich aber als Geld- und Zeitverschwendung.

    Gruss
    Andreas
     
  3. AndreasG

    AndreasG Active Member

    Aber wogegen schützt mich denn die Firewall? Port-Scans sind mir eigentlich egal, so lange niemand Zugriff auf meine Daten erlangt und mir niemand was auf die Platte spielen kann.

    :confused:
     
  4. macmercy

    macmercy New Member

    Bessere Router kommen schon mit eingebauter Firewall. Das reicht am Mac locker aus. Code, der Dein System ändert, kann am Mac nur nach Eingabe des Admin-Passworts aktiviert werden (im Gegensatz zu Win-würg). Mit DSL bist Du am Mac vor Dialern geschützt - 99% sind auch nur für Win-PCs. Viren für OS X sind noch nicht aufgetaucht (meinen letzten Mac-Virus bekam ich 1996 in der Firma zu sehen, war auf einer Kunden-Diskette). Wer sich in P2P-Netzen rumtreibt und Musik und Anderes runterlädt, kann 'PeerVanguard' laufen lassen - das blockt RIA und Konsorten (mehr dazu auf meiner Website).

    Ich habe fertig... :cool:
     
  5. AndreasG

    AndreasG Active Member

    So sehe ich das auch: Also nochmals: Wogegen schützt dann eine FireWall, wenn eh niemend Zugriff auf meine Daten erlangen kann? Ist doch total überflüssig, oder?

    Oder kann ohne FireWall jeder mit entsprechendem Fachwissen mein Home-Directory auslesen? Das wage ich doch sehr zu bezweifeln...
     
  6. Wenn Du z.b. Windows Filesharing oder ftp oder ssh aktiviert hast,
    ist u.a. auch samba offen.
    Und hier gibt es auch möglichkeiten einzudringen.
    Sei es per ftp, ssh oder über smb.

    Per Bruteforce lässt sich so manches einfallsreiche paßwort knacken.
    Und Zugriff auf den Rechner erlange ich wenn ich Kontrolle
    über einen Dienst habe. Im Normalfall werden aber dummy user
    ohne größere Rechte als Eigentümer eingesetzt. Aber die haben zumindestens Rechte die Dateien zu lesen.


    Also interne Firewall an und gut ist.

    Vor allem weil Apple immer mit den Sicherheitsupdates wochenlang
    hinterher hängt.


    vor Würmer und Viren brauchen Mac Anwender sicherlich weniger Angst
    haben. Aber vor Angriffen sind auch sie nicht geschützt.
    Aber das Risiko einen Angriff zu erhalten ist recht niedrig.
    Blauäugig darf man aber auch nicht an die Sache gehen.
     
  7. hofmeyer

    hofmeyer New Member

    Zu dem Thema gab es hier vor einiger Zeit schon mal einen Thread, damals hatte ich folgendes geschrieben, was heute wohl auch noch zutrifft ;)

    Wozu braucht man eine Firewall?

    Ein Unternehmen hat ein kleines Netz, in dem Rechner verschiedenster Sorte mit verschiedenen Aufgaben laufen, z.B. ein Webserver, ein Mailserver, einige Windowsclients usw. Diese Rechner sollen mit dem Internet verbunden werden. An sich kein Problem, aber... Verbindungen zwischen einem lokalen Rechner und dem Internet sind nicht immer harmlos und können schlimmstenfalls zu gehackten Rechnern führen.
    Eine Verbindung vom lokalen Rechner in das Internet (z.B. Aufruf einer Webseite) oder vom Internet in das lokale Netz (eingehende Mail) wird über ein sog. socket aufgebaut, dieses socket ist eindeutig durch die Absender- und Empfänger IP Adresse und die Portnummer gekennzeichnet. Die Portnummer gibt den jeweiligen Dienst an mittels dem die beiden Rechner kommunizieren, z.b. Port 80 für http oder 21 für ftp. Jetzt tritt z.B. folgendes Problem auf: Microsoft hat einen Dienst, der sich RPC nennt, stadardmäßig auf aktuellen Windowsrechnern aktiviert ist und auf bestimmten Ports lauscht, ob jemand etwas von ihm möchte. Dieser Dienst hat eine Sicherheitslücke, die dazu führt, dass man letztendlich in den Rechner einbrechen kann. Solche Sicherheitslöcher treten auf allen möglichen Plattformen für alle möglichen Dienste auf, beim ssh-Dämon, dem apache Webserver usw. werden immer mal wieder solche Lücken gefunden. Ein zweites Problem ist, dass z.B. in unserem imaginären lokalen Netz ein Benutzer keinen Bock hat zu arbeiten, sondern lieber per peer2peer Netz Filme saugt oder per ICQ mit seiner Freundin chattet, beides wieder Dienste, die über bestimmte Ports laufen.
    Um diese Probleme zu umgehen, benutzt man eine Firewall. Das ist ein Rechner (oder eine spezielle Hardware) die das interne Netz komplett vom Internet trennt indem zwei Netzwerkkarten vorhanden sind, von denen eine im internen Netz, die ander im Internet hängt. Jetzt lassen sich auf der Firewall ein beliebig komplexer Satz von Regeln erstellen, die die Form haben:
    Erlaube/Verbiete IP-Adresse x auf Port y zugriff auf IP-Adresse z auf Port q

    Wobei man auch IP-Adress- und Port-Bereiche angeben kann und x meißt im internen und z im Internet liegt. Damit läßt sich dann z.B. relativ einfach der gesamte Windowspool von außen gegen RPC Anfragen abschotten, oder der eigene Mailserver nur für einen Port von außen erreichbar machen.

    Das bedeutet:
    Ein Angriff von außen über das Netzwerk kann nur stattfinden, wenn der angegriffene Rechner einen Dienst zur Verfügung stellt, der auf diese Anfrage reagiert und der ein Sicherheitsloch hat oder fahrlässig konfiguriert ist (ftp zugang für root ohne passwort als Extrembeispiel).
    Wenn der RPC Dienst nicht läuft kann er auch nicht gehackt werden. Wenn er aber intern laufen muß hilft eine Blockade der entsprechenden Ports auf der Firewall.
    Für einen einzelnen Mac OS X Rechner bedeutet das:
    So lange ich keine komischen Programme auf meiner Kiste installiere, von denen ich nicht weiß, was sich machen, stellt mein Rechner nur die Dienste zur Verfügung, die ich in der Systemsteuerung eingeschaltet habe. Diese Dienste stellt man ja zur Verfügung, damit sie auch genutzt werden, also müßte man bei eingeschalteter Firewall die entsprechenden Ports wieder freischalten. Daher ist die Firewall für so einen Rechner eigentlich überflüssig.

    Ich hoffe, das stimmt soweit, ansonste nehme ich auch gerne Korrekturen an

    Friedhelm
     
  8. AndreasG

    AndreasG Active Member

    Ich habe zwar weder ftp noch ssh noch Windows-Filesharing aktiviert, aber ich schalte das Ding jetzt doch mal ein.

    Frage: Einfach einschalten reicht, oder muss man da was konfigurieren? Verstehe von den ganzen Ports etc. nicht allzu viel...

    Gruss
    Andreas
     
  9. Einschalten reicht.
    Da wird dann alles geblockt.
     
  10. MacBelwinds

    MacBelwinds New Member

    Und die Firewall meines Routers (SMC Barricade) ist genauso gut wie Apples bordeigene? Beide einzuschalten wäre wohl zuviel des Guten?
     
  11. Und die Firewall meines Routers (SMC Barricade) ist genauso gut wie Apples bordeigene? Beide einzuschalten wäre wohl zuviel des Guten?


    Die ist genauso gut.
    Grob über den Kamm geschert ist das alles das gleiche.

    Beide einschalten? Macht fast keinen Sinn, bringt aber auch keine
    Nachteile.
     
  12. AndreasG

    AndreasG Active Member

  13. AndreasG

    AndreasG Active Member

    Dass die Firewall, die ich eben aktiviert habe, funktioniert. Man muss auch noch an kleinen Dingen Freude haben... :D
     
  14. WoSoft

    WoSoft Debugger

    Und ich bin jetzt beleidigt. Meldet doch dieser Test mein geliebtes OS X als unbekanntest Betriebssystem und ansonsten, dass er wegen meines Firewalls bei mir überhaupt nichts ausrichten könne.
    Na ja, so ein Firewall im Router samt NAT ist halt schwer zu knacken.
     
  15. Hans.J

    Hans.J Active Member

    Mal eine Zwischenfrage: Zuhause gehen wir über Airport ins WeltWeiteWarten. Irgendwo hab ich mal gelesen dass die Airportstation als Hardwarefirewall dient?? Ist dem wirklich so oder muss ich da, ausser der OSX -eigenen Firewall sonst noch was einstellen?
    Gruss Hans
     
  16. WoSoft

    WoSoft Debugger

    Kopie von der Apple-Site:
    Die AirPort Extreme Basisstation ist mit einer integrierten Firewall ausgestattet, sodass wichtige Daten auf Ihrem Computer vor dem Zugriff durch Unbefugte geschützt
     
  17. Hans.J

    Hans.J Active Member

    Ups, da hätte ich ja auch selber schauen können. Besten Dank für die Info.
    Gruss Hans
     
  18. WoSoft

    WoSoft Debugger

    wenn du mit dem PC nur über Aiport ins Web gehst, braucht der auch keine Firewall.
    Und da kann man mal sehen, wie gut Airport ist, sogar einen PC die aus.
    :D
     

Diese Seite empfehlen