OS X - Firewall

SkobyMobil · 28. Februar 2013 um 22:50

Hallo,
man (Frau) kann hier sehr schön seine Firewalleinstellungen prüfen. Was immer das zu bedeuten hat.
heise.de/security/dienste/Po … 75179.html
-> Test starten ->“alles eingeben” ->UNIX Standard ->Scan starten

Kennt jemand noch eine andere seriöse sichere Seite die das online prüfen kann?

Bei mir sind Port 311&623 offen. Bekomme ich die nur über´s Terminal geschlossen- oder auch über die
Firewall in “Server-Admin” ?
Gruß und Dank
Andreas

SkobyMobil · 1. März 2013 um 13:25

Hallo,
die o.g. Port´s lassen sich wohl nur über die “ipfw” dichtmachen:
sudo ipfw add 1000 deny tcp from any to any dst-port x
“x” ist der Port

Dann gibt es in der Server-Admin einen geheimnisvollen “Tarnmodus(Stealth)”
Dieser “zieht” aber nicht richtig, das System antwortet immer noch auf ICMP-Pakete.
Erst- nachdem man in den “Erweiteren Regeln” die Nummer 65534 aktiviert hat, ist schluss damit.

Mein OS X befindet sich jetzt wohl in einer trügerischen Sicherheit.

In OS X gibt es doch wohl, wie in WinXp, einige Programme, die “nach Hause Telefonieren”.
Gibt es da eine Liste mit den üblichen Verdächtigen? Safari & Mail habe ich schon “dicht” gemacht.
Gruß und Dank
Andreas

archie79muc · 1. März 2013 um 14:20

Guck Dir evt mal Little Snitch an, seitdem ist bei mir Ruhe…

SkobyMobil · 1. März 2013 um 15:44

Hallo,
habe ich mir schon angeschaut. Es gibt auch noch FireWall Builder (fwbuilder.org)
Ich mag aber keine Programme, die nur sehr selten genutzt werden.

Bei OS X 10.6 ist es so, das die o.g. Regeln (ipfw) nach einem Neustart nicht mehr gültig sind.
Bei OS X 10.6 Server scheint das nicht zu gelten. Die Regeln (ipfw) bleiben gültig.
Kann das jemand bestätigen?
Gruß und Dank
Andreas

Joerg · 1. März 2013 um 18:07

Uhm - langsam - ist bei Dir zwischen Internet und Mac kein Router?

Fabian · 2. März 2013 um 06:36

Dachte auch, dass der Router ja quasi eine Hardware-Firewall ist. Lasse mich aber gerne aufklären. Ich habe keine Software-Firewall an im System.

Joerg · 2. März 2013 um 07:55

Doch, die DSL-Router machen normalerweise NAT, und per Default wird da eigentlich gar kein Port weitergeleitet - wenn, dann muss man einen Host rausdeuten, der Pakete auf einem bestimmten Port bekommt. Beispielsweise ein Webserver bekommt alles, was an Port 80 angefragt wird, durchgereicht.

Zu den Ports selber: das ist zum einen der „AppleShare IP WebAdmin“ (311) - was mich wundert, denn die Support-Dokumente, die man dazu findet, sind zu OS9… der andere ist „ASF Remote Management and Control Protocol“ (623). Wichtiger als die Frage, wie man diese Ports per Firewall dicht macht, wäre die Frage, wieso die Ports offen sind, und den betreffenden Dienst abzuklemmen. Systemeinstellungen->Freigaben wäre einen Blick wert. Wenn da nix erhellendes steht, das Terminal anwerfen und dort eingeben:

lsof -i | grep LISTEN

SkobyMobil · 6. März 2013 um 01:17

Hallo,
@Fabian, als “Hardware-Firewall” bezeichnet man “Rechner/Hardware” die den Netzwerk-
verkehr regelt, absichert und filtert. Also Rechner/Router die den “Dreck” von anderen
Rechnern im Netzwerk fernhalten. Diesen “Firewall´s” wird aber auch durch Software beigebracht, was sie zu tun haben und was nicht.

“Bei OS X 10.6 Server bleiben die Regeln (ipfw) gültig”

Nein, einen Router habe ich noch nicht dazwischen. Der Mini wird nur durch ein THG-540
vom Internet getrennt.
Ich habe hier noch einen “Netgear ProSafe VPN Firewall FVS114” liegen, dessen Firewall
halte ich für ausgezeichnet.

Ich habe nur mit der “ipwf” wesentlich mehr Möglichkeiten den Netzwerkverkehr zu
regeln. Es ist nur um einiges schwieriger sie richtig einzustellen, weil man seine eigenen
Regeln aufstellen kann/muß. Z.B. Sandbox.

Warum die Ports 311 & 623 offen gewesen sind, kann ich nicht sagen. Jetzt sind sie
dicht.

Auch sehr schön:
support.apple.com/kb/TS1629?view … cale=de_DE

In Freigaben ist alles aus, das Terminal gibt nachfolgendes her:
SystemUIS 178 x 6u IPv4 0x0d02c734 0t0 UDP :
SystemUIS 178 x 10u IPv4 0x0d02c658 0t0 UDP :

Weiter bin ich mit der FW noch nicht gekommen, aber schau´n wir mal…
Gruß und Dank
Andreas

Fabian · 6. März 2013 um 04:20

[quote=„SkobyMobil“]Hallo,
@Fabian, als „Hardware-Firewall“ bezeichnet man „Rechner/Hardware“ die den Netzwerk-
verkehr regelt, absichert und filtert. Also Rechner/Router die den „Dreck“ von anderen
Rechnern im Netzwerk fernhalten. [/quote]

Das schrub ich doch, dachte ich?

Das ist klar. Danke für die Aufklärung.

BitsandBytes · 6. März 2013 um 08:53

Jein, so ein 08/15 Plaste-Router aus dem Elektromarkt ist keine Firewall im eigentlichen Sinne. Da ist die Absicherung wie Jörg schon schrieb (eigentlich nur ein Neben-)Effekt der Network Address Translation (NAT).
Du bekommst von deinem ISP (Internet Service Provider also dem Diensteanbieter wie z.B. der Deutschen Telekom) ja genau eine IP-Adresse zugeteilt. Über diese ist (mal so das gängige Standard-Setup vorausgesetzt) dein Router dann mit dem Internet verbunden, sprich über diese Adresse erreichbar. Deine Geräte im lokalen Netz brauchen aber eigene IP-Adressen, die nun vom Router aus bestimmten Adressbereichen vergeben werden, die nicht nach außen geleitet werden (um die Adresskollision mehrerer Rechner mit gleicher Adresse zu vermeiden). Nun muss also bei jeder Anfrage die ein Rechner aus dem lokalen Netz ins Internet sendet, der Router die IP des Rechners mit der externen (Internet) Adresse ersetzen und wenn dann ein eine Antwort kommt, bei dieser die Empfängeradresse wieder in die Adresse des entsprechenden Rechners ändern. Alles sehr messy. Als Nebeneffekt ist es allerdings für einen Rechner im Internet nicht möglich eine Anfrage an einen Rechner im internen Netzwerk zu senden, da der Router so nicht weiß, wo er diese hinleiten sollte. Um solche Anfragen trotzdem annehmen zu können muss im Router eine Portweiterleitung eingerichtet werden, die nichts anderes als die Anweisung ist alle Anfrage die an einen bestimmten Port (oder Ports) gerichtet ist, immer an einen bestimmten Rechner im internen Netz durchzuleiten.
Eine Firewall schaut sich eigentlich die Netzwerkanfragen nur an und entscheidet auf Grund bestimmter Regeln, ob ein Paket weitergeleitet wird oder nicht.

Für detaillierte Informationen empfehle ich die beiden erstklassigen CRE Folgen CRE 191 - Internet im Festnetz und 197 - IPv6 zu hören.

Joerg · 6. März 2013 um 18:10

[quote=“SkobyMobil”]Auch sehr schön:
support.apple.com/kb/TS1629?view … cale=de_DE[/quote]

…das ist so ähnlich wie ein

car /etc/services

…nur mit ein bissel mehr Erklärungen.

[quote]In Freigaben ist alles aus, das Terminal gibt nachfolgendes her:
SystemUIS 178 x 6u IPv4 0x0d02c734 0t0 UDP :
SystemUIS 178 x 10u IPv4 0x0d02c658 0t0 UDP :[/quote]

…dann ist ja alles roger.

Wenn ipfw eine Option ist, kann man sich damit prima ein kleines Skript basteln - das Zauberwort ist dann LaunchDaemons, damit das Skript beim Systemstart auch ausgeführt und die ipfw-Regeln eingetragen werden. Ist aber halt arg System-lastig und unintuitiv… um mit ipfw zu hantieren, ist mir meine pfSense dann doch lieber. Aber das ist wieder ne andere Liga Firewalls…

SkobyMobil · 6. März 2013 um 20:01

Hallo Jörg,
hier für Dich erst einmal das “t” für oben

“das Zauberwort ist dann LaunchDaemons”
Ja, die kenne ich für die ipfw, sind aber ne´ gefährliche Sache. Da fummelst du am Universum-
und weißt nicht was du machst…
Gruß und Dank
Andreas

Fabian · 7. März 2013 um 17:13

Danke für die Aufklärung.