Ich hätte da mal ein paar Fragen. Ich habe eine alte AirPort Basis an einem DSL Modem und Router. Eines von den Dingern sollte doch eine Hardware-Firewall integriert haben, wenn ich mich nicht irre? Mich interessiert es deswegen, weil ich mich frage, ob die Software-Firewall von MacOS X da überhaupt noch zusätzlich nötig ist, bzw. ob man ohne diese auch noch ausreichend geschützt ist für den Fall der Fälle.

Ach ja, und bitte einfache Worte verwenden, wäre nett. 8-):-D

Vergiß das mit der Firewall einfach, du brauchst sie nicht. Dein DSL-Router macht NAT, das ist besser als jeder Portfilter (aka "Firewall").

Interessantes Thema. Ich habe leider überhaupt keine Ahnung von Netzwerksicherheit.

Rantanplan,
mit DSL-Router ist das DSL-Modem gemeint? Woher weißt Du was mein DSL Modem alles kann, ist das prinzipiell ganz gut abgekapselt? Wenn ja, wieso machen sich dann soviele Gedanken über HW-Firewalls?

Hat die vorhergehende Airport Extreme BS auch eine integr. Firewall und wie sinnvoll ist die oder kann man die konfigurieren?

Mail an

oloool
Das weiß ich daher, weil eigentlich jedes DSL-Modem genauso funktioniert: es hat nach außen hin eine IP-Adresse und nach innen kann man mehrere Geräte anschließen, bietet dort also mehrere IP-Adressen an. Diesen Mechanismus nennt man Network Address Translation. Und er hat eine kleine Einschränkung, die aber einen durchaus positiven Nebeneffekt mit sich bringt: so ein NAT-Router kann Daten von außen nur dann zustellen, wenn die Verbindung vorher von _innen_ aufgebaut wurde, denn wie sollte er sonst wissen, an welches Gerät innen er die Daten schicken soll. Das führt dazu, daß man sich innen "absolut" sicher vor unerwünschten Verbindungen von außen fühlen kann. Und genau das erwarten die Leute üblicherweise von einer "Firewall". Der Begriff Firewall wird allerdings in der Presse so ungenau benutzt, daß die meisten darunter einen Portfilter verstehen. Dem kann man sagen: paß auf, Daten auf diesen Ports und Adressen wirf einfach weg, das andere laß durch. So ein Portfilter ist ein wichtiges Hilfsmittel für Netzwerkadmins in bestimmten Situationen, aber es wird als eine Art "Brandschutzmauer" von den Leuten mißverstanden. Deine Brandschutzmauer, die dich von allen Sachen von außen schützt, das ist das NAT im Router.

Wer ohne Sinn und Verstand den ganzen Traffic von außen auf einen seiner Rechner drinnen umgeleitet hat (das nennt sich in vielen Routern fälschlicherweise "DMZ"), der hat den Schutz durch das NAT natürlich nicht mehr. Wer gezielt "Port weiterleitet" macht es dagegen richtig, damit diese Verbindungen von außen funktionieren. Noch praktischer und aus Sicherheitsgründen (von außen, von innen ist es eher ein Sicherheitsrisiko) besser ist UPnP, damit werden die Ports nur weitergeleitet, wenn eine Applikation innen das benötigt, ansonsten sind sie "zu".

Jetzt zur Frage: warum sind Datenverbindungen von außen überhaupt böse? Das wird in der Presse auch häufig falsch dargestellt oder übertrieben. Grundsätzlich sind Datenpakete und Verbindungsanfragen von außen natürlich nicht schädlich. Schädlich können sie erst dann werden, wenn man als Nutzer eines Rechners keine Ahnung hat, welche Verbindungsanfragen von außen vom Rechner überhaupt angenommen werden, welche Daten sie dort übertragen oder welche Daten von sich aus der Rechner ins weite Netz schickt, ohne daß man davon Kenntnis hat (ich meine damit jetzt nicht das "nach Hause telefonieren"). Für Windows kann man sagen: das ist ein Eimer mit vielen Löchern. Windows sollte man auf jeden Fall so schützen. Bei einem ordentlichen Unix sieht das anders aus - bei OS X übrigens auch. Dort laufen wirklich nur die Dienste, die man gestartet hat und die zum Betrieb nötig sind. Was nicht läuft muß man nicht schützen, das ist der Knackpunkt! Um mal ein Beispiel zu nennen: ein Rechner, auf dem nur der sshd (der SSH-Daemon) an das Interface bindet und nach außen lauscht, den braucht man auch nicht zu schützen. Man muß nur darauf achten, daß man immer die aktuellen Patches drauf hat, damit keine Fehler im Programm einen Einbruch ermöglichen. Aber hüte mal einen Flohhaufen wie die ganzen Dienste in einem Windows-Rechner, ich glaube damit wäre sogar ein Windows-Systementwickler von MS überfordert.

Keine Ahnung, ich habe noch nie eine benutzt Noch nie hinter einem NAT-Router, meine ich. Und in meinem eigenen Netzwerk muß ich mich nicht vor anderen schützen, das wäre dann ggf. ein Einsatzgebiet für die Firewall in OS X.

Ah, danke mal für die ausführliche Antwort!

Ich mach mir halt hin und wieder Sorgen, wenn ich z.B. mit meinen Macs zu weit Warcraft zocke, ohne Firewall, oder ob da irgend ein böser Schäuble auf meinem Rechner schnüffeln könnte.

Naja, der antidemokratische Rollifahrer hat ganz andere Möglichkeiten. Der kann deine Daten während des Transports abgreifen. Da es eine Handvoll Knotenpunkte gibt, den DE-CIX zum Beispiel, könnte dort der Schnüffelverein praktisch alle Daten abgreifen die sie haben wollen. Eine Firewall hilft da nicht, nur konsequente Verschlüsselung ... Aber würde Verschlüsselung konsequent verwendet, würde sie einfach verboten werden.

NAT ist sozusagen "TCP/IP broken by design". Dadurch das man Endgeräte nicht mehr direkt erreichen kann, sind sie halt für alle nicht mehr direkt erreichbar was auch Angreifer einschliesst. Aber auch sinnvolle Dinge.

Das wirkt sozusagen wie eine Firewall gegen Alles und nichts... Die Auswüchse die sich daraus ergeben haben Namen: NAT Traversal, NAT Port Mapping Protokoll (Apple), Universal Plug & Play (Microsoft), Skype, STUN Server, ... Das Gruselkabinett ist groß. So will man was kaputtes hinten rum wieder heil machen. Macht es aber nur komplexer und baut wahrscheinlich noch mehr Fehler ein als wenn die einzelnen Anwendungen ihre Ports einfach selber dicht/zu machen würden.

Aber ich schweife ab.

Meine Güte hab ich jetz rätseln müssen wer der "antidemokratische Rollifahrer" ist...

Jedenfalls fänd ich es schön, wenn nicht jeder einfach bei mir nachsehen könnte, was ich auf der Platte habe, wenn ich mal die Firewall aus hab. Es gab da letztens doch irgend einen Bericht, dass man bei verschiedensten Windows-Rechnern im Netz einfach mal nachgesehen hat, was da so alles rumliegt und hat dann amüsante Statistiken verbreitet. Dazu möchte ich nun irgendwie nicht gerade beitragen.

Gaspode

Mit IPv6 wird sich das zum Glück alles ändern Frag sich nur, wann es mal verbreitet sein wird.

Rantanplan So wie in Frankreich wo das einfach verboten ist.

Ich bin aber beim Herrn S. optimistisch: Durch die Menge an Daten (Terabyte Festplatten werden bald in jedem iMac stecken) und selbst Handys sind mit mehreren MBit/s ans Internet angeschlossen, sch*** wir ihn einfach mit Daten zu. Da soll mal jemand schauen wie er da was sinnvolles raus holt. Für einzelne User sicherlich und eine Überwachung einer verdächtigen Person ist ja auch ok. Aber die unter Generalverdacht stehenden 80 Mio. Deutschen kann er so nicht mitloggen. Da gehen im die Festplatten aus.

Verschlüsselung darf auch verboten werden, nützt aber nix wenn man die Verschlüsselung als solche nicht erkennt. Man muss SMIME nur leicht abwandeln oder die Information in einem JPEG verstecken, dann ist das nicht mehr zu finden.

Bis dahin kann sich ein Verbrecher mit viel Zeit 20 E-Mail Accounts bei 20 Freemailern holen und überall mit SSL Mails holen die mit SMIME verschlüsselt sind. Die CA dazu hat er selber aufgesetzt mit seinen Kumpanen. Bis dann für 10 Accounts mal die Vollmachten vorliegen die mitzulesen ist viel Zeit vergangen und man wird feststellen, das der eine Account mit echten Informationen gar nicht dabei war. Wo sollen all die Ermittler herkommen? Eine ganze Stasi würde dafür nicht reichen. Der Dumme ist nur der Normalbürger der seine Privatsphäre nicht so schützen wird. Aber echte Kriminelle lachen sich doch über all das nur schief. Wenn Herr S. auf die Art ein paar Terroristen fängt und nicht nur ein paar Deppen die Autos anzünden, dann kann er mich vielleicht vom Gegenteil überzeugen. Bis dahin halte ich ihn für die größere Gefahr.

Rantanplan Vista und OS X haben es per Default an. Clientseitig wäre also alles vorbereitet. T-Online führt es wie ich mitbekommen habe auch schon ein. Das dauert alles so furchtbar lange...

cab
Das geht nur, wenn du eine Freigabe eingerichtet hast. Z.B. wenn du Freigabe via SMB hast. Hättest du keine "NAT-Firewall" davor, wäre es sicher sinnvoll deinen Portfilter im OS X zu aktivieren und Regeln zu erstellen, so daß nur die lokalen Rechner die Freigaben nutzen können.

Da muß man aber wirklich jeden Dienst sich genau ankucken. Deswegen: nichts einschalten was man nicht braucht! Und erstens: gute Passwörter. Zweitens: gute Passwörter. Drittens ... genau: gute Passwörter Und keine automatische Anmeldung und solchen Quatsch einschalten.

Jo, mach mal im Windows-Explorer "\\ip-adresse\c$", dann wirst du noch nach einem Zugangskennung gefragt ("Administrator" und .... ausprobieren) und du wirst dich wundern Bzw. wundern würde sich der andere, dessen Laufwerk C: du damit durchstöberst, obwohl er ja nichts freigegeben hat *hehehehe* Ist halt Windows

Gaspode
Richtig, das Problem dabei ist nur: wer wirklich etwas zu verstecken und kriminelles im Sinn hat, der kann das machen, ist ja kein Hexenwerk. Aber wer Standardprogramme und Protokolle benutzen will, weil z.B. die Mailprogramme nur die normalen Verschlüsselungsprotokolle unterstützen, der steht mit einem Verbot im Regen. Entweder muß er dann auch konspirativ arbeiten oder er ist nackt.

Wenn mit IPv6 NAT unnötig werden wird, dann sind die armen Windowskisten mit ihrem Fehldesign wieder ungeschütztes Freiwild für die bösen Jungs .

MacMark Genauso wie Macs bei denen die SMB-Lücke immer noch weit aufsteht und Macs die die 5 Security Updates aus 2007 noch nicht eingespielt haben und die diversen separaten Quicktime Fixes und 10.4.9. Ich erinnere mich an ein Security Update was 30 Bugs behebt, von denen ca 15 eine Privilege Escalation oder gleich root Rechte erlaubt haben. Hmm, über Windows würde ich nicht wirklich anfangen Witze zu machen.

Was machen wir dann nun?

Einen Mac mini oder MB nur für das Internet? Und wenn ich jemanden dann eine verschlüsselte Datei schicken möchte, dann muss ich sie wohl erst anders aus meinem iMac herausholen? Wird das umständlich!!:-/:-(((sick)(sick)(sick)(sick)(sick)(sick)(sick)

die airport station lässt auch nat laufen, wenn sie hinter einem router hängt, sofern man es aktiviert

selbstverständlich einen "nur" für das internet, musst halt paar sachen drauf lassen, das es nicht auffällt…

"Kein Recht auf Privatsphäre bei der Nutzung des Internet": http://www.heise.de/tp/r4/artikel/25/25421/1.html