Grauenhaft und mehr als peinlich. Danke, Apple!

Was kann man dagegen tun? Little Snitch?

hey, MacOs ist doch save, ich hab mir von apple experts sagen lassen müssen das es bei so nen tollen OS keine Sicherheitslücken gibt *lol*

dieter
Apple hat diese zerschossene Firewall demnach für einige wenige nicht gesund denkende Menschen implementiert?

wieso ist Apple noch immer so doof und deaktiviert die "Firewall" standardmäßig? (sick)

weil sie wissen, daß sie so löchrig ist?

Naja, der Wert eines Paketfilters auf einem Desktoprechner wird allgemein stark überschätzt. Sicherheit findet woanders statt: ein nicht laufender Dienst ist besser als ein sinnlos leer laufender Dienst, dem man aber einen Filter spendieren muß. Letzteres tut Microsoft, ersteres (meistens) Apple.

Und wie dieter schon geschrieben hat, sind die meisten Leute mit NAT-Router am Internet.

Mal im Ernst: jeder der hier so groß rumtönt er bräuchte den Paketfilter, soll mal ein Szenario darstellen, in dem eine fehlende oder "löchrige" Firewall ein Problem darstellen soll. Dann kann man ja immer noch drüber reden.

Leider muss ich dir wiedersprechen, es gehört auf jedenfall auf jeden Rechner eine Firewall, was nützt ein Router bei WLAN oder im Inet Cafe? Eigentlich ist es grob fahrlässig die Firewall als standart deaktiviert zu lassen. Aber dies kommt von apples überheblichkeit, bei unseren OS gibt es sowie keine gefahren, warum blubbern bei meinen Virenscanner min einmal in Wochen neue Signatur Updates für den Virusscan rein??

Und genauso ist es mit der Firewall

Glaube nie einem, der Standart schreibt

Jaguar1, Das Komma ist zuviel. Weil der Standart der schreibt ja nichts, der eine aber schon.

Oder ist der Standart ein Wochenblatt?

*g*
hellbilly, danke, you made my evening.

hellbilly666 und andere:

Nein! Es nicht grob fahrlässig die MacOS-Firewall auszulassen. Per Default ist in MacOS kein Dienst angeschaltet. Was soll also der Portfilter.

Der Portfilter wird dann wichtig, wenn man die Dateifreigabe oder andere Freigaben anschaltet.

Es hilft also tatsächlich nur ein DSL-Router. Dort ist tatsächlich eine Firewall drin, die den Namen verdient. Aber das ist halt nicht selbstverständlich, solange T-Com und andere den DSL-Anschluß nur mit Modem und nicht mit Router verkaufen.

bleistift
Wie hast du denn den zum Laufen gebracht? Bei mir laufen .... siehe Bild.

Mach das mal bei einem Windows, da mußt du scrollen um alles auf eine Seite zu bekommen

Kommas waren über @@ _mäuschen

lästert nur, in Franken is es scheißeg@l ob d oder t, is eh alles gleich

Schdimmt, die kenne eh ned richdig schätze @@ hellbilly666

Aber mal abgesehen davon ist der ntpd unkritisch, egal ob er nun seine Zeit im Netz anbietet oder nicht.

Frank
nur zur Info, jede Firewall macht Port Filtering, das ist die basis. Zweitens, was nützt dir dein toller Router wenn du zu Hause ein WLAN hast, nichts, aber auch garnicht, sowas kannst du nur über eine Firewall auf deinen Rechner einigermaßen absichern. Das dabei die mitgeliefert kein Sahnestück ist, is klar, aber sie sollte eine Grundsicherheit bieten

agrajag
FW auf dem zu schützenden Rechner nicht besonders hilfreich ==> ah, so so, wo denn dann, am Drucker? oder vor der Tastatur, um vor eingaben des Users zu schützen

Aber wenn der doch jetzt ein böses Sicherheitsloch hat @@ Ranti?

hellbilly, Meister der Franken, du kannst bei mir ja gerne mal deine Hackversuche starten, die offenen Ports siehst du oben. Welche Hackstrategie schlägst du vor?

shh bietet sich immer an deine IP ist die 127.0.0.1 *lol*

Jaguar1
Wenn da ein Sicherheitsloch ist, dann lege ich einfach ein Brett drüber

Jaguar1
Fehler passieren immer, solche Löcher sind ja auch welche. Aber ein Dienst, der auf einem Port erreichbar ist, der ist ja nicht einfach da weil es so gottgegeben ist. Das hat ja einen Sinn. Wenn es keinen hat, dann hat der Dienst einfach nicht auf einem Port zu lauschen. Hinterher die Bude mit einem Filter zu verrammeln ist der völlig falsche Ansatz, es müssen die laufenden Dienste richtig konfiguriert sein und die die nicht benötigt werden haben AUS zu sein. Und die meisten Dienste lassen sich auch so konfigurieren, daß sie nur bestimmte Verbindungen akzeptieren, diese Arbeit muß man keinem Filter überlassen (der auch Fehler haben kann).

hellbilly666
Jo klar, das hätte ich jetzt auch vorgeschlagen. Die meisten Leute haben doofe Kennwörter Ich leider nicht Außerdem ist sshd standardmäßig nicht aktiviert, den habe ich selber eingeschaltet, weil ich mich oft remote per ssh einlogge.

RAMses3005
ein Sicherheitsloch hat wenigstens immerhin schon 'nen Flatterband rum


Ranti
volle Zustimmung!

Ich arbeite seit jahren ohne Firewall, weder im rechner noch im Router. Und im Router sind sogar noch jede menge Ports zu einem meiner Macs weitergeleitet (afp, vnc, mysql, serveradmin, ssh, http, ..) und der wurde bis heute nicht gehijackt. Nur einen Bruteforce-Versuch per FTP für den Root-User hatte ich mal. Hab dann einfach den FTP-Server lahmgelegt und damit war dann ruhe.

die osX firewall ist ja keine firewall... sondern ein packetfilter... alleine das ist schon peinlich fuer heise.de...

eine richtige firewall setzt nach dem DSL modem und vor den router an...

und ich will apple nicht in schutz nehmen, aber es gibt keine viren oder torjaner fuer osX... heise.de stellt es so hin als wenn osX das gleiche risiko haette wie winXP oder vista....

ich habe little snitch und eine firwall am router aktiv... mehr kann ich mit meinen mitteln nicht machen...


O:-)O:-)

1. es is klar das es keine perfekte firewall gibt, für jede gibt es einen weg um durchzukommen, egal ob die eine appliance is oder am rechner
2. hier ist geballtes IT Fachwissen am werk, wenn ich mir den threat so ansehen, services durch konfigurieren, alle 65000 Ports auswendig kennen.. ich weis das ich nicht alle Ports kenne und deshalb überlasse ich sowas Leuten die besser sind als ich, das heißt ich hol mit ein 3th Party Produkt. Ich kann mir vorstellen das das eigentlich noch diskutiert werden sollte, Firewall und Virenscanner sollen Standard (diesmal richtig ) sein, wie ein Airbag beim Auto, das kann ich auch ohne fahren, es is halt nich immer schön wenn man beim knall ins Lenkrad beißt, aber es geht.

bin grad dabei

ok, nach sichtung des video, in dem kindergarten firewall getestet wurden von der sorte ich kann alles und werde die welt retten, das is klar das solche tools schöne bildchen am Bildschirm bringen. Norten is ja bekannt für sowas. Aber ich denke wir reden von Firewalls, checkpoint, sonicwall, cisco....

Ich hätt nicht lesen dürfen, jetzt kann ich nicht einschlafen vor Lachen.

hellbilly666,
Das zu deinem Namen passende Port 666 wird von Doom (ID Software) verwendet.

Also, FW hin, FW her - eine Fa. wie Apple, die damit wirbt besonders sicher zu sein, sollte einige Basics schon beachten. Die meisten User mag ich mal behaupten, haben keine Ahnung, dass standardmäßig alle Ports freigegeben sind. Bei der Erstinstallation wird auch Bluetooth und das Internet aktiviert - ohne das ich gefragt werde.
Und wenn Apple leidenschaftlich viele Macbooks & Cos verkauft - ohne Router, wird mir ganz schwindelig.
Positives Karma her, positives Karma hin - hier haben die einfach geschlafen...
Beste Grüße
C+

Naja, wer unbedingt eine Firewall auf seinem 10.5 haben möchte, soll halt wieder den ipfw anwerfen und entsprechende Filterregeln definieren. Offensichtlich, so zumindest habe ich es gelesen ist der ipfw ja noch mit an Bord, aber stummgeschaltet, der eigentlich aktive Paketfilter ist irgend etwas anderes, was aber im Moment wohl so noch niemand richtig benennen kann.

Ich häng hier übrigens mit einem Rechner direkt am Netz, mit öffentlich zugänglicher IP, und habe keine Firewall am laufen. Dafür aber alle Dienste dicht, nur ssh, smb und afp, aber die nur für meine Rechner drumherum, über host.allow und host.deny. In der Theorie sollte ich so keine Firewall brauchen.

Hey Leute, was ist dennn der Unterschied zwischen ner Firewall und Packet-Filtering? Ne Firewall filtert doch Ports, richtig? Und des andere? Und warum reicht es wenn ein Deinst aus ist? Ich meine, wenn ich in meinem Router die Ports für irgendein P2P freigebe, dann kann doch jemand trotzdem genau über diese Ports auf meinen Rechner zugreifene, auch wenn ich die Apps gerade nicht laufen lasse, weil die ports ja dann immer noch offen sind, oder? Also ich schalte die jetzt nicht immer an und aus? Und Was genau für eine Art ist Little Snitch nu? Packetfiltering oder FW? Das habe ich auch und fand as immer ziemlich gut, aber ich glaube für eingehende Angriffe ist das jetzt nicht so super, oder? Kann man ja eher gut für ausgehende Verbindungen konfigurieren.

slownick
Wenn die Applikation oder der Dienst nicht läuft, dann kann soviel du willst auf dem entsprechenden Port laufen, das wird dann einfach ignoriert. Meist ist es dann auch für den Kommunikationspartner recht langweilig, Anfragen zu schicken, wenn keine Antworten kommen, gell?
Der Port mag zwar dann rein logisch gesehen offen sein, aber da dahinter nichts läuft, kann auch kein Angriff über diesen Port gestartet werden.

Also ich verstehe das "Apple tut nichts für die Sicherheit"-Gejammere nicht Ich weiß nicht ob es möglich ist sich über Kindergartenniveau darüber zu unterhalten, aber ich möchte mal zwei Punkte ansprechen: den Status quo und die Zielgruppe von Apple.

Erstens: der Status quo. Wie hier einige nicht müde werden zu erläutern, ist Apple in Punkto Sicherheit ja eine reine Katastrophe. Alles offen, keine "Firewall" aktiv, schlampig konfigurierte Dienste und so weiter. Ich frage mich nur ganz ernsthaft: ja, wenn das so wäre, warum sind die Macs nicht genauso verseucht wie die Windows-Rechner? An der mangelnden Zeit dafür kann es nicht liegen, OS X gibt es schon mehrere Jahre und sicher waren das - wenn man den Kommentaren so glaubt - noch nie. Und die Ausrede mit der mangelnden Verbreitung kann man wohl auch langsam zum Alteisen packen. Also irgendwie stimmt da doch nicht. Heise jammert einerseits, daß es außer proof-of-concept-Trojanern für OS X noch nichts gibt, andererseits schlagen sie aber Töne an, daß man meint mit OS X wäre man bei jedem Surfgang Freiwild für die bösen Hacker.

Zweitens: die Zielgruppe. Es gibt viele Leute, die ihren Computer benutzen wollen, ohne dafür ein Hochschulstudium ableisten zu müssen. Die sind bei Windows schon aufgeschmissen, weil dort auch nur die primitivsten Sachen wirklich einfach zu verstehen sind. Für alles was darüber rausgeht muß man schon mehr wissen, als zum Beispiel der normale Autofahrer von seinem Gefährt wissen muß. Oder muß man zum Autofahren wissen wie man eine Zündung richtig einstellt? Wäre es so, wären die Straßen ziemlich leer. Bei Computern hat man - mit einer guten Portion Hochmut von Entwickler- und Herstellerseite - bisher ignoriert, daß die Leute ihren Rechner einfach nur benutzen wollen. TimeMachine ist ein gutes aktuelles Beispiel. Das ist so einfach, das versteht sogar ein technisch unerfahrener Rentner. Für die, die sich auch unter ihr Auto legen, gibt's ja Linux. Und im Prinzip auch Windows. Apple hat eher die anderen im Auge.

Ein Paketfilter ist ein verdammt komplexes Ding. Nehmen wir mal den Rentner. Und nehmen wir mal an, ein aggressiv konfigurierter Paketfilter wäre standardmäßig aktiv. So, nun lädt also unser Rentner eine Software runter, meinetwegen so ein Filesharing-Dings. Das läuft aber nicht. Oder besser: laufen tut es, aber es bekommt nie eine Verbindung. Rentner ist ratlos. Wenn die Software was taugt, wird sie ihm stecken, daß keine Antworten kommen und das evtl. an einem Portfilter liegen könnte. Was ist das, fragt sich der Rentner. Ok ... angenommen er weiß das irgendwann. Was nun? Die gängige Antwort der Leute die immer so groß nach Firewalls rufen: finde raus welche Ports die App braucht und öffne die in der Firewall. Also ich wette mehrere Kasten Bier, daß das ein durchschnittlich begabter Normalbürger ohne tieferes Verständnis der Netzwerktechnik nicht auf die Reihe bekommt, geschweige denn versteht was damit gemeint ist. Aus gutem Grund haben moderne NAT-Router alle UPnP (oder das Apple-Pendant) an Bord, sonst würde sich das Drama genauso beim Router wiederholen. Solange es keine flexibel reagierende und kinderleicht verständliche Form des Paketfilters gibt, ist Apple gut beraten den anderen Weg zu gehen: Dienste die nicht sein müssen bleiben deaktiviert und die die laufen müssen ordentlich konfiguriert sein und sollten (möglichst) keine Sicherheitsprobleme aufweisen. Da darf dann auch die Firewall gerne ausgeschaltet bleiben.

Super. Danke!@@Rantanplan

Ich finde das leider auch sehr gefährlich....das nicht nur "komische" Newsportale wie heise.de solchen "Berichte" mit nur ganz wenigen Schlagwörtern publizieren sondern das dies dann sogar in ansich Fachhompages gepostet wird....(sick)

Danke Rantanplan, sehr guter Text, den Copy Paste ich wohl gleich, habe so das Gefühl den kann man in nächster Zeit öfters zu rate ziehen....;)

Uh ... aber vor dem Pasten bitte die Fehler korrigieren Gibt hier ja leider keine Edit-Funktion

Unangenehm, aber welcher gesund denkende Mensch betreibt einen Rechner im Internet ohne Router mit Firewall?

Rantanplan

Wieso muss auf einem Client der NTP-Server-Dienst laufen..? Ist das nicht "ein sinnlos leer laufender Dienst"?

Beim CCC kann man sich sogar eine Live-Vorführung ansehen, wo sie sogar wegen einer Firewall ein Rechner angreifen können. Die Firewall ist nur eine weitere Software, die potentielle Lücken hat, die man ausnutzen kann. Ports, die zugreifbar sein sollen, müssen in der FW freigeschaltet werden. Dienste, deren Ports geschützt werden sollen, kann man dann auch abschalten FW auf dem zu schützenden Rechner nicht besonders hilfreich.

Der ntpd läuft (zumindest unter Tiger, hab noch kein 10.5), wenn man in den Systemeinstellungen einen Timeserver aktiviert hat.
Einfach das Häkchen bei "Datum und Zeit autom. einstellen:" wegmachen, dann verschwindet der ntpd.

Sitox

Ich denke nicht, dass Apple die Lücken bewusst für andere gebaut hat. Aber jedes System hat Bugs und Lücken. Selbst mit einem voll gepatchten Solaris 2.6 (betagt) würde ich nicht ohne externe FW ins Netz gehen.

Wie agrajag sagt eine FW gehört vor den zu schützenden Rechner (oder das Netzwerk) nicht auf einem von diesen. Zusätzlich macht man alle eingehenden Ports zu und leitet nur benötigte nach innen durch! Mehr als ssh nötig?

hellbilly666<br>Nochmal: Wozu eine Firewall auf dem zu schützenden Rechner?!? Entweder ich WILL, daß man auf den Port zugreifen kann, dann muß ich den entsprechend in der FW durchlassen. Oder ich will den Port nicht zugreifbar haben, dann schalte ich den Dienst halt ab. Auch hier gibt es für die FW nichts zu tun.

Ich sehe hier keinen Sinn für eine FW, außer daß sie selbst eine potentielle Schwachstelle darstellt. Schau dir einfach mal die CCC-Videos an. Dann wirst du sehen können, worin das Problem liegt.

Eine FW mag Sinn machen, wenn man sie (mit dem nötigen Wissen) selbst konfiguriert, aber über die GUI kannst du nichts brauchbares einstellen.

hellbilly666:

Chaosradio: http://chaosradio.ccc.de/
Videos vom 23C3: http://chaosradio.ccc.de/23c3_m4v.html
CCC Ulm über Personal Firewalls: http://www.ulm.ccc.de/PersonalFirewalls (unter Vorträge gibt es das besagte Video)

Ich glaube, du solltest dir wirklich mal das Video ansehen...

Du hast schon mitbekommen, daß das prinzipiell mit JEDER Firewall möglich ist? Sie haben nur Norton genommen, weil es eine häufig benutzte FW ist. Sie hätte auch eine andere für ihre Demonstation nehmen können. Aber mir scheint, als hast du den eigentlichen Gag nicht so ganz verstanden.

Rantanplan, Du hast es begriffen. Ich bin genau Deiner Meinung. Der Thread-Eröffner, die heise-Redaktionsamateure und die MTN-Nachplapperer dagegen können alle zuhause bleiben.

Der Rest werfe einen Blick nach /usr/share/sandbox/ und die neuen OS X Features und denke mal drüber nach wie das wohl zusammen hängt.

Personal Firewalls sind was für Win-DAUs - Solitaire und Minesweeper Experten und alle die es noch werden wollen. Und Chip & Co. verbreiten diesen Blödsinn auch noch.

Firewalls auf dem Rechner machen nur dann Sinn wenn man mit VPN-Software in Kombination die anderen Netzwerkinterfaces zunageln will die ohne VPN sind. Das einzige mir sinnvoll erscheinende Szenario.