Panther Firewall einschalten

Dieses Thema im Forum "Software" wurde erstellt von gofi, 12. März 2004.

  1. gofi

    gofi New Member

  2. petervogel

    petervogel Active Member

    da ich mich zu den schwer paranoiden usern zähle, wüsste ich gerne deine empfehlung für diese gruppe;)
     
  3. kawi

    kawi Revolution 666

    Nein kann er nicht.
    Möglicherweise kann er lesen und eine dateiübersicht erhalten. Aber mit dem löschen und verändern von daten benötigts dann schon etwas mehr.
    Außerdem kann man mit einem "Scan Programm" nicht auf den Mac zugreifen.
    Ein Scan Programm durchsucht lediglich Ports die ein offenes Reply liefern. Selbst wenn solch ein offener Port entdeckt ist MUSS in jedemfall erst mal eine ausführbare Datei dort installiert werden um über diesen Port einen Zugriff jeglicher Art zu steuern.
    (das geht unter OS X unbemerkt von außen nicht, weil fremdgeladenen dateien immer per default das -x als Flag [für executable = ausführbar] fehlt! )


    Das müsste man deshalb schon selbst installieren, also mit seinem aktiven Account und evtl Administrator Passwortabfrage bestätigen. (was im windows Falle die Trojaner machen, die jedoch auf dem Mac bisher noch nicht aufgetaucht sind) Ein solcher trojaner öffnet einen bestimmten Port am Pechner und setzt dort eine Art Portwächter ein - also ein Programm das den Einlasser spielt (nur der offene Port nutzt auch selten was) und ausführbare Befehle an diesem Port weiterleitet und Zugriff aufs Rechner innere freigibt.

    Das Problem am Mac ist also einiges beschränkter. Ausführbare rechte erhält man zwar mit FTP und anderen Diensten jedoch gilt es hier erst ein Passwort / benutzername Konfiguration zu umgehen. das deaktivieren aller im feld sharing nicht benötigten Dienste macht ein eindringen auf einen mac quasi unmöglich.
    Mit eingeschalteter Firewall erst recht.

    Und selbst wenn andere Ports aus irgendwelchem Grund geöffnet sein sollten - kann man darüber noch lange nix ausführen und auch noch lange nicht Zugriff auf dateien erhalten. Geschweige denn "verändern und löschen" ... selbst mit dem "anzeigen" wird es schwierig. da wie gesagt der Trojaner fehlt der den Port XY überhaupt erst öffnet und dort sich selbst als Portwächter installiert und Anfragen von außen weiterleitet.

    Die aussage

    ABER wenn man mit dem Internet verbunden ist kann es durchaus sein, dass jemand mit einem automatisierten Scann-Programm auf unseren Mac zugreiffen kann!

    Würde ich so geschrieben jedoch als totaler Müll bezeichnen, weil sie undifferenziert mehrere technische Zusammenhänge in einen Topf schmeisst, gut umrührt und dann was zusammenhangloses rauszieht.
    Das ist genauso als wenn ich behaupten würde:

    wenn man sich im aldi Markt befindet kann durchaus der Postbote bei meinem Nachbarn ein Paket hinterabgeben, welches für Frau Müller aus dem dritten Stock gedacht ist

    - Zugreifen auf den mac kann ich nur wenn ich die datendienste dafür im Kontrollfeld Sharing freigegeben habe.
    - Ohne eingeschaltete Firewall könnte man darüberhinaus unter Umständen tatsächlich LESE zugriff auf Dateien und/oder Systeminfortmationen erhalten.
    - Löschen oder Verändern halte ich für ausgeschlossen.
    (es sei denn man hat FTP, Desktop Remote oder Filesharing jeglicher Art in der systemsteuerung aktiviert und der außenstehdne loggt sich mit einem bestehenden Account der auch die notwendigen Rechte zum verändern hat auf meinem rechner über einen dieser Dienste ein.

    das dumme ist:
    wenn ich die Dienste personal Filesharing, windows Filesharing, remote desktop oder FTP aktiviert habe NÜZT AUCH DIE FIREWALL NIX - weil das aktivieren dieser Dienste die entsprechenden Ports auch in der Firewall freischaltet. (sonst wären diese Dienste ja auch unnütz)

    => Diese Zugänge sind also in dem Fall auch mit eingeschalteter Firewall zugänglich.
    was ein potentieller Angreifer jetzt "nur" noch braucht ist eine auf dem rechner existierende Benutzer/Passwort Kombination - und dann hat er tatsächlich Zugriff auf Dateien und kann diese im schlimmsten Falle auch verändern/löschen.
    Dafür bedarf es KEINER Würmer, Viren oder Trojaner (die so fürs OS X bisher noch nicht aufgetaucht sind)

    Sicher unter OS X macht in erster Linie das deaktivieren diverser Dienste unter "Sharing". In zweiter Liie das aktivieren der Firewall.
     
  4. gratefulmac

    gratefulmac New Member

    >>Beim Panther 10.3 ist ein Software Firewall im System drin, aber wie auch bei Windoof ist dieser NICHT aktiviert!<<

    Diese Aussage ist falsch.
    Die Ports sind standardmäßig im OS X geschlossen.
    Beweis:
    auf dieser Seite findet man unter anderem ein Tool namens Port scan.
    http://www.dslreports.com/tools

    Mit diesem könnt ihr Eure Ports testen.
    Natürlich ersteinmal ohne aktivierte FW.
    Danach aktiviert die FW.

    Erst wenn man einen Dienst in Sharing aktiviert, muß man die FW starten, damit dieser Port freigegeben wird.

    -
    Aber Kawi hat dazu ja schon einen Kilometer geschrieben.
     
  5. ks23

    ks23 Ohne Lobby

    Und solange man keine statische IP hat wird das Risiko zusätzlich minimiert...

    Gruss
    Kalle
     
  6. gofi

    gofi New Member

  7. hapu

    hapu New Member

    Man merkt am Experten-Zwist, dass das Thema Firewall am Mac noch recht jung ist ... findet ihr nicht?

    Als ich vorgestern einem Freund (ein Vollblut-Netzwerkler) die Panther-Firewall zeigte, war seine erste Frage: "Wo definiere ich, ob es hinein oder hinaus gesperrt ist?"

    Stille meinerseits ...


    Meine Frage: Bietet NetBarrier all das, was eine Linux-/NT-/...-Firewall kann?

    Danke,

    HaPu
     
  8. ks23

    ks23 Ohne Lobby

    Mensch gofi, OSX ist Qut-of-the-Box sicher, Windows nicht!!!

    Und das OSX (UNIX) sicherer ist als Windows dürfte eigentlich klar sein ;)

    Wieviele Viren gibt es nochmal für OS < 9??

    Gruss
    Kalle
     
  9. gratefulmac

    gratefulmac New Member

    >>Als ich vorgestern einem Freund (ein Vollblut-Netzwerkler) die Panther-Firewall zeigte, war seine erste Frage: "Wo definiere ich, ob es hinein oder hinaus gesperrt ist?" <<

    Zeige ihm die man ipfw und er kann sich ein Bild machen.

    --
    Die FW Diskussionen waren hier im Forum vor gut zwei Jahren Mode.
    Zu einer Zeit , als die Jobsfirma in OS X noch nicht "sharing" eingebaut hatte und man entweder über das Terminal oder aber mit einem Frontend a la Brickhouse/Impasse ect arbeiten mußte.
    Seitdem finden keine bedeutenden Diskussionen zu diesem Thema statt.

    -
    Zu den Security updates:

    Ja es werden immer wieder Lecks gefunden.
    Denn es gibt kein absolut sicheres System.
    Die Lecks werden übrigens in CERT veröffentlicht.

    http://www.cert.org/

    Hier werden penibel alle gefundenen Lecks für jedes OS veröffentlicht.
    Und natürlich auch der Reparaturstand derer.

    -
    Zum größten Teil handelt es sich, was unser System betrifft, um Fehler die in den Programmen auf der Unixebene liegen.
    Diese muß man selbst aktivieren.
    Sie sind standardmäßig nicht aktiviert.
    z.B sendmail/apache ect

    Sind diese Applikationen vom User nicht aktiviert worden,sind sie kein aktives Sicherheitsrisiko.

    -

    Generell kritisch zur Sicherheitspolitik Apples sei angemerkt, das Fehlerbeschreibungen in Apples eigenen Programmen, wenn sie nicht von anderen Quellen veröffentlicht werden, nicht genauer beschrieben werden.
    So findet man z.B. immer nur die Bemerkung (Beispiel) :"Ein Sicherheitsproblem in Safari wurde behoben."
    Genauere Beschreibungen dazu findet man leider nicht.
     
  10. kawi

    kawi Revolution 666



    Was hast du denn für ein Problem ?
    Eigentlich wäre für an dieser Stelle die Diskussion beendet. Aber mir ist grad nicht danach.
    Ich habe nie behauptet alles besser zu wissen.
    Nur wenn es ein Thema gibt bei dem ich einen anderen Wissenstand habe als der gepostete, dann teile ich das mit.

    Schau dir mal die Beiträge an an denen ich mich nichtbeteilige !
    das sind 'ne ganze Menge - und eine NICHT Beteiligung bedeutet in diesem Falle das ich
    a) mich entweder damit gar nicht auskenne oder
    b) nichts anderes weiß als das was bereits gepostet wurde.

    Und gemessen an den beiträgen die auch ohne mein Zutun hier nachzulesen ist das ne ganze Menge.

    Auch lasse ich mich auch in beiträgen an denen ich mich beteilige GERN und JEDERZEIT eines besseren belehren, bedanke mich auch gern für neue Infos und habe kein Problem damit zuzugeben wenn ich mich mal in einer Ausführung geirrt habe.

    Ich weiß jedoch nicht was DU für ein Problem damit hast. Mir scheint du nimmst einen andere Information als die deinigen etwas zu persönlich. Vielleicht geht es auch gegen dein Ego wenn man deinen Ausführungen wiederspricht.

    Es gibt genügend Themen in denen ich der MegaDAU bin - aber im gegensatz zu anderen halte ich mich aus solchen Diskussionen dann lieber komplett raus, anstelle irgendwelches halbwissen zu publizieren. Das ist vielleicht ein grund warum ich selten wiederlegt werde (was ich eigentlich nicht finde das es selten ist - es gibt hier genügend Themen in denen Ausführungen von mir mit anderen Argumenten wiederlegt werden konnten.)




    Löcher in Windows sind Löcher in Windows!
    Und der Unterschied zwischen Mac und Windows ist nicht nur die Bezeichnung und die Oerfläche sondern etwas viel wichtigeres:
    Systemarchitektur Und in dieser Architektur ist Windows per default broken by design

    was die gestopften Löcher in security updates betrifft dann weisst du hoffentlich was der Unterschied zwischen Sicherheitsmängeln und Exploits ist.

    - Für KEINEN EINZIGEN Sicherheitsmangel der mit einem Security Update der letzten 1,5 Jahre unter OS X gestopft wurde gab es zum Zeitpunkt des Erscheinen des updates einen Exploit.

    - Für 70 % der Exploits unter Windows gibt es noch nichtmal ein update.

    es macht einen Unterschied ob ein Sicherheitsmangel entdeckt und behoben ist, oder ob hunderte Exploits für solche Schwachstellen im Umlauf sind.
    Ein Exploit ist eine Ausführung, ein Hack oder ein im Umlauf befinlicher Virus, Trojaner der sich den Mangels zu eigen macht um Funktion XY auszuführen. Nur weil es ein Sicherheitsmangel gibt bedeutet das noch lange nicht nicht das bereits Fälle bekannt sind oder Anwendungen existieren die diesen Sicherheitsmangel ausnutzen.
    Im Falle der letztjährigen OS X Security Mängel gab es zum Zeitpunkt des updates eben noch keinen exploit für den entsprechenden mangel -

    - Die Behebung von Sicherheitsmängeln ohne Exploits ist daher *prophylaktisch*, während unter Windows in den meisten Fällen eine Stopfung des Loches erst nachträglich geschieht, wenn bereits Schadensroutinen in der Praxis im Umlauf sind. und dort gibt es noch etliche Exploits zu denen noch kein patch existiert



    [ ] man merkt du kennst dich aus.



    Vielleicht solltest du mal davon runterkommen dich persönlich angegriffen zu fühlen, nur weil man einige Punkte deiner Ausführungen widerlegt. das dient nämlich weder der Sache, noch ist es ein persönlicher Angriff. Also auch kein grund wie in deinem Eingangssatz beleidigt und wie im Kindergarten zu reagieren.

    Dem Punkt die Firewall zu aktivieren habe ich ja sogar zugestimmt. SOGAR noch mit dem Zusatz das man um sicher zu sein sogar noch sämtliche Sharing Dienste deaktiveren soll, weil diese nämlich als Ausnahme in den Firewall regeln geführt werden. Und die Firewall nützt NICHTS wenn du FTP Sharing aktiv hast und man sich so (mit dem passenden benutzernamen/kennwort) ungehindert trotz Firewall auf deinem rechner rumtreiben kann.

    Also wo ist dein Problem?
     
  11. ks23

    ks23 Ohne Lobby

    Aus gutem Grund :)

    Gruss
    Kalle
     
  12. kawi

    kawi Revolution 666

    Aus gutem Grund.
    Zur Zeitpunkt der Behebung hat man also ein Sicherheitsproblem entdeckt. Für deises Problem gab es also keinen Exploit (also nichts im Umlauf befindliches, was dieses Loch augenutzt hätte) Es war aber theoretisch vorhanden.

    Wenn Apple veröffentlichen würde um welches Problem es sich genau handelt, wären von dem Moment an ALLE user die vielleicht NICHT dieses Security update installiert haben ein potentielles Angriffsziel, weil dann bekannt wäre wo diese bestimmte Safri Version verwundbar ist.
    Also ist es besser das Apple das nicht tut. Denn wie gesagt - nur weil ein Sicherheitsleck existiert bedeutet das nicht zwangsläufig das es praktische Anwedungen gibt die dieses ausnutzen. Dies tritt erst ein wenn von einem "Exploit" die rede ist. Und ein Exploit ist mir unter OS X noch nicht untergekommen.

    (Wenn man mal den Exploit mit dem Password im Bildschirmschoner ausnimmt. Da lag der Exploit darin das man sich tatsächlich AM betroffenen Rechner befinden muss. Denn nur das manuelle eingeben an der Tastatur konnte diese Lücke ausnutzen ... - nur in dem Fall wenn sich ein Angreifer bereits physisch an meinem rechner befindet kann er das teil auch gleich mitnehmen, oder mit der System CD die passworter zurücksetzen ... Wenn man es genau nimmt ist die "Kennwörter zurücksetzen" Funktion auf der OS X Instaöll CD eigentlich auch ein Exploit und potentielles Sicherheitsrisiko.
     
  13. gratefulmac

    gratefulmac New Member

  14. gofi

    gofi New Member

  15. ks23

    ks23 Ohne Lobby

    Wer mag der User wohl sein :D
    Und was ist das How to Board... :D

    Gruss
    Kalle
     
  16. kawi

    kawi Revolution 666

    Nein das sage ich nicht. Ich sage nur das es nicht möglich ist über einen Virus, Trojaner oder Wurm von außen an einem beliebigen Port eine Schadensroutine auszulösen und darüber sogar Schreib Zugriff auf OS X Dateien zu erhalten -(so wie es unter Windows kein Problem ist.)
    Ich habe nie dem Punkt wiedersprochen das der Einsatz der Firewall sinnvoll ist. Ich habe nur geschrieben (und erläutert) das das von dir beschriebene Szenario so unter OS X nicht auftreten kann

    Wenn du meine Beiträge komplett gelesen hättest, anstatt gleich beim ersten Wort angepisst zu reagieren, wäre dir aufgefallen das es in diesem Punkt KEINEN WIDERSPUCH von mir gegeben hat.
    Ich habe sogar das aktivieren der Firewall noch mit dem Hinweis ergänzt ZUSÄTZLICH um wirklich sicher zu sein die Sharing Dienste die man partout nicht benötigt wenn man surft zu deaktivieren. Weil diese auch TROTZ Firewall Sicherheitsrisiken darstellen können.

    Vielleicht war das für einige bisschen viel text um das herauslesen zu können. Dehalb jetzt hier etwas kürzer ;-)

    Greetz
    Kai
     
  17. WoSoft

    WoSoft Debugger

    Um das Ganze mal in eine andere Richtung zu lenken:
    Eine Firewall auf dem zu schützenden Rechner selbst ist per se nicht besonders wirksam.
    Im Minimum muss man 2 Netzwerkkarten installieren, von denen eine nach außem geht (ins WAN) und eine nach innen (ins LAN). Die Firewall hängt dann dazwischen. In kommerziellen Systemen realisiert man das mit einem extra Rechner.
    Eine für den privaten Bereich gute Lösung ist ein Router mit eingebauter Firewall und NAT.
     
  18. kawi

    kawi Revolution 666

    das bietet auch die default OS X firewall.
    Nur ist diese nicht in allen Funktionen per GUI zu steuern.
    Apple verwendet aber in Panther die unter etlichen *nixen ipfw Firewall. Die in allen BSD Varianten, Unix Varianten und Linux Distris den Grundstein bildet.
    Diese ist sehr gut dokumentiert und einsehbar.
    mit man ipfw kann man die dokumentation auch unter nOS X ein sehen.
    Auch im netz finden sich hunderte Manuasl zu dieser Firewall:

    => http://www.hmug.org/man/8/ipfw.html
    => http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html
    => http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8

    das, was man in OS X standardmäßig nicht per grafischem Interface konfigurieren kann, geht jedoch vorzüglich im terminal. Da kann man so ziemlich jede noch so exotische Regel definieren und einrichten.
     
  19. gratefulmac

    gratefulmac New Member

  20. gofi

    gofi New Member

Diese Seite empfehlen