Firewall, ja oder nein?

Hallo,
meine Firewall ist seit einiger Zeit aus und zwar aus Komfortgründen. Hat immer mal wieder kleine Zicken gemacht und ich hatte keine Zeit mich endlos damit zu beschäftigen. Ausserdem hat die Uni eine und mein Wohnheim auch noch.
Ich habe schon oft gehört, eine schlecht konfigurierte FW kann man sich auch schenken, daher meine Entscheidung sie direkt aus zu lassen. Für wie wichtig/wirksam haltet ihr die Apple-eigene Firewall? Oder sollte man sich sogar extra externe Software dafür einbauen? Gibt es andere, wirkungsvollere Schutzmechanismen?
thnx & greeeetz,
IGU

Mit Wohnheim wäre ich schon vorsichtig. Wer sagt Dir, das der dortige Admin ausreichend Erfahrung hat?

In meinem privaten Hausnetzwerk habe ich eine Firewall am Router an. Da intern nur Macs sind, die entweder immobil sind oder von mir administriert werden, nutze ich die Mac Firewall nur bei Powerbooks, die sich meiner Kontrolle ungefragt „entziehen“ können. Hin und wieder stelle ich bei meinem Mini die Firewall ein, aber mehr um den Umgang damit zu testen (ist der einzige Rechner mit Leopard hier), bzw. ob Änderungen bei Updates vorkommen.

Unis/Einzelne Institute haben nicht unbedingt das spezifische Fachwissen für Mac. Da aber normalerweise Windos und Unix/Linux Wissen vorhanden ist, mache ich mir da auch weniger Sorgen, und da die Anzahl der Mac Schädlinge gering ist besteht in meinem Umfeld nicht unbedingt die Notwendigkeit für eine Firewall.

Anders sieht es natürlich aus, wenn der Besitzer in betriebliche Geheimnisse eingeweiht ist (Aufträge aus der Wirtschaft). Wenn ein Rechner (egal welches OS) dafür genutzt wird, sollte Firewall an, Festplattenverschlüsselung an und auch ein Virenschutz drauf! Alleine aus rechtlichen Gründen, das man Anschuldigungen entgegen treten kann, man hätte Vorsätzlich bei z. B. Datendiebstahl gehandelt. Ich erwarte nämlich nicht, das ein deutscher Richter mit einem Mac arbeitet und die Anschuldigung, das es auf dem Mac nicht nötig wäre, folgen würde… spätestens bei einem Gutachter aus der Windoswelt hat man dann schlechte Karten…

Fremdsoftware auf Systemebene? Mann, ich bin froh, dass nicht mehr zu brauchen …
Das Apple-eigene wird in der Umgebung (Hard-Software) entwickelt, getestet und gepflegt. Und funktioniert. Das Highlight war auf der Dose: Update Windows kam raus, Update Viren/Firewall auch. Gleichzeitig. Danach war die Maschine sicher: Die Kombination hat schlicht das Ding vom Netz getrennt. (bei bestimmten Konfigurationen, die übersehen worden waren) Und die Bugfixes wären übers Netz zu beziehen gewesen … NUR übers Netz.
Das war übrigens der Punkt, an dem ich die Dose in die Tonne gehauen hab. Vier verdammte Tage totes Netz (natürlich in einer Zeit, wo ich es dringend gebraucht hab), weil die Software nicht für die Hardware passt.

Nix gibts: Virenscan macht der Provider, den Rest macht Apple.

cheers, Uli

Eine Firewall auf dem Rechner, wo sie wirken soll (im Gegensatz zu einem Kästchen, das ich ins Netz zwischen mich und das Internet stelle) wird häufig einzig aus einem Grund eingesetzt: um fehlendes Wissen um eine sichere Systemkonfiguration zu kompensieren. Wenn die Dienste, die ich per Firewall verbiete, gar nicht erst aktiv sind, ist das 1000mal besser als eine noch so toll konfigurierte Firewall. Um einen Vergleich zu bringen (ich liebe die heute, ich geb’s zu): Eine Firewall auf einem mies konfigurierten System (auf dem ein SSH-Dienst, ein FTP-Daemon und noch ein paar andere blöde Sachen laufen) ist wie eine Sicherheitsfirma, die der Omi für alle Fenster und Türen gehärtete Stahlgitter verkauft. Ohne ihr zu sagen, dass sie die Fenster und Türen vielleicht lieber einfach zu machen sollte. (Eigentlich noch stärker: dass man die Türen und Fenster auch gleich hätte zumauern können - aber hier fängt der Vergleich an zu hinken - lassen wir das).

Unter Windows ist eine Firewall noch etwas anders gelagert: da ein frisch installiertes (ungepatchtes) Windows derzeit mal wieder eine durchschnittliche Lebensdauer von 10 Minuten hat, ist sie ein Verhüterli, ohne das man keinen Internet-Verkehr haben sollte (ups, noch so ein Vergleich)…

Die Leo-Firewall kann immerhin noch Applikations-seitig eingreifen: für jedes Programm kann ich angeben, ob es Dienste im Netz anbieten können soll. Wichtig ist hier die Richtung: nicht aufs Netz zugreifen, sondern anderen ermöglichen, auf meinen Rechner zuzugreifen (was das größere Sicherheits-Problem darstellt). Wer auch die andere Richtung kontrollieren will, um beispielsweise zu sehen, welche Programme “mal eben” aufs Netz zugreifen, um ihrem Herrn und Meister zu sagen, dass sie installiert worden sind, der braucht Zusatz-Software wie Little Snitch. Hier wird die Konfiguration und das “Einlernen” der zulässigen Zugriffe aber schnell stressig.

Ebenso ist es mit weiter führenden Maßnahmen: auf Servern kann man Systeme einsetzen, die ständig die Logfiles überwachen und Besonderheiten an eine (entfernte!) Adresse mailen. Oder erfolglose login-Versuche von einem Rechner erkennen und nach einer bestimmten Anzahl diesen Rechner einfach nullrouten. Oder man definiert Firewall-Regeln, die bei Zugriff auf Ports, wo keiner was verloren hat (z.B. ssh) den “Angreifer” komplett ausblenden. All diese Mechanismen sind aber im “Normalbetrieb” eher unsinnig, weil man meist eh hinter einem Router sitzt, der NAT betreibt - man hat dann gar keine IP, welche von außen sichtbar wäre. So, und jetzt sind wir schon bald in einem Netzwerktechnik-Grundkurs, deshalb höre ich jetzt auf zu schreiben. :stuck_out_tongue: