Netbarrier und Apples Firewall

[Jochen]

Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.

Und bereits der erste Fehler in Deiner Analogie. Bei einer echten Firewall ist es tatsächlich so, denn die läuft nicht auf deinem Rechner (in Deinem Hafen), sondern vorher (in der Dreimeilen-Zone). Deine beiden Firewalls (NetBarrier und Apple Firewall) sind eigentlich streng genommen keine Firewalls, sondern Paketfilter und die laufen auf dem zu schützenden Rechner, d.h. erst werden die Schiffe in den Hafen gelassen und dort(!) dann geprüft. Sicherlich besser als kein Schutz, aber nicht so sicher wie eine echte Firewall.

a) Was ist denn der Unterschied zwischen einer echten Firewall und einem Paketfilter ?
b) Ist ein Paketfilter eine unechte Firewall ?
c) Ist ein Paketfilter das was ich beschrieben habe ?

Jochen

[Florian]

Also, mit den Bezeichnungen bin ich nicht so ganz sicher, sagen wir mal Software- und Hardware-Firewall.
Wo der Unterschied ist, wurde schon beschrieben.

Sicherheitstechnisch ist es insofern relevant, daß z.B. ein per Email eingefangener Virus die SW-Firewall lahmlegt und sich fortan frei verbinden kann, in beide Richtungen. Und viel wahrscheinlicher: Das eine schlecht konfigurierte oder schlecht programmierte SW-Firewall ein Loch öffnet.

Das ist alles mit einer HW-Firewall deutlich unwahrscheinlicher, insofern ist sie sicherer.
Und noch was: Die HW-Firewall belastet nicht die Ressourcen des benutzten Rechners.

[Jochen]

Wenn ich den Link von Chucky bei wikipedia lese, gibt es prinzipiell keinen Unterschied zwischen einer Software und Hardware Firewall.

Zitat:
Host-Firewall(Software) und Netzwerk-Firewall(Hardware)
Umgangssprachlich wird häufig von Hardware- oder Software-Firewalls gesprochen. Bei dieser Unterscheidung handelt es sich in erster Linie um eine nicht-technische Definition. Die Unterscheidung von Hard- und Softwarefirewall ist technisch gesehen unsinnig. Zu jeder Firewall gehört Software, und die muß auf Hardware ausgeführt werden. Fälschlicherweise werden dedizierte Router, auf denen die Firewallsoftware ausgeführt wird, als Hardwarefirewall bezeichnet. Personalfirewalls werden oft als Softwarefirewall bezeichnet, die aber werden auf dem PC ausgeführt. Sie benötigen also den PC als Hardware.

Jochen

[warlord]

Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall.

Nun ja, eine Firewall kann, oder meistens muss man wohl sagen könnte, natürlich wesentlich mehr sein, als nur eine Mauer mit geöffneten oder geschlossenen Türen. Sie stellt eigentlich eher den Türsteher dar, dem man entsprechende Anweisungen erteilen könnte, wen er rein- und/oder rauslassen darf und wen nicht. Es ist halt einfach so, dass die GUI-Bordmittel von OS X nichts anderes Zulassen, als Türen zu öffnen und zu schliessen.

[warlord]

Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.

In einer korrekt konfigurierten Firewall sollten diese Ports eigentlich nicht per se freigeschaltet sein, wenn Du keine entsprechenden Serverdienste anbietest (also einen Web- oder Mailserver laufen hast). Die Firewall darf dann eigentlich nur Verbindungen erlauben, weche aus dem Innern des geschützten Netzwerks initiiert worden sind.

[radneuerfinder]

Warum hast Du das machen lassen? Warum müssen fremde Leute auf Deine freigegebenen Ordner zugreifen, auf Deine Netzwerkzeit, auf Deine Musik und Bilder?

Musik und einige FotoOrdner habe ich bewußt in den iApps freigegeben und anderen und mir dadurch große Freude bereitet.    
Die anderen Dienste haben sich eher so nebenbei ergeben. Bei Netzwerkzeit kann ich nur rätseln. Ob das Häkchen bei Virtuel PC "PC Zeit vom Mac übernehmen" diesen Port öffnet?

Eine Firewall blockt nur, was ihr aufgegeben. Öffnet man einen Port, kann sie höchstens noch protokollieren.

Warum wird denn eine löchrige Mauer ("per se freigegeben") immer als so wichtig für die Computersicherheit genannt?

[MacFlieger]

Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.

Nein!
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.

[MacFlieger]

a) Was ist denn der Unterschied zwischen einer echten Firewall und einem Paketfilter ?

Bei einer echten Firewall findet die Filterung außerhalb Deines Computers statt, bevor die Pakete Deinen Computer erreichen (in der Dreimeilenzone). Die Software, die Du meinst, läßt ja zunächst mal alle Pakete auf Deinen Rechner (in den Hafen) und prüft erst dort, ob die Pakete gefiltert werden oder nicht. Dann könnte es schon zu spät sein.

b) Ist ein Paketfilter eine unechte Firewall ?

Ein Paketfilter ist keine Firewall. s.o.

c) Ist ein Paketfilter das was ich beschrieben habe ?

Nein, Du hast eine Firewall beschrieben, die Du nicht hast.

[radneuerfinder]

Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.

Das klingt ja nicht schlecht! Macht denn die Firewall auch die Tür zu wenn der entsprechende Dienst nicht läuft? Also, wenn VNC nicht läuft, ist Port 5900 zu?
 

[MacFlieger]

Musik und einige FotoOrdner habe ich bewußt in den iApps freigegeben und anderen und mir dadurch große Freude bereitet.  

Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können? Wenn nein, ist das "Loch" völliger Unsinn.

Warum wird denn eine löchrige Mauer ("per se freigegeben") immer als so wichtig für die Computersicherheit genannt?

Das steht nur bei Leuten, die Dir eine "Firewall" verkaufen wollen, die Windows benutzen oder keine Ahnung haben.
Eine Firewall wird dann benötigt, wenn ein Dienst auf dem Computer läuft, der aus dem Internet nutzbar ist, obwohl man das nicht möchte. Eigentlich ist der Dienst dann falsch konfiguriert, denn besser wäre es den Dienst so zu konfigurieren, daß er nicht aus dem Internet nutzbar ist. Die schlechtere Lösung ist es eine "Firewall" mit dieser Aufgabe zu betreuen. Auf dem Mac laufen im Lieferzustand keine Dienste, also keine Firewall notwendig. unter Win laufen jede Menge Dienste, die Zugriffe erlauben, die fehlerhaft sind etc. Dort ist eine "Firewall" Pflicht.

Ich glaube, ich setze mich mal hin und schreibe mal die Funktionsweise einer Firewall auf. Hier in diesem Thread läuft ja einiges durcheinander.

[MacFlieger]

Das klingt ja nicht schlecht! Macht denn die Firewall auch die Tür zu wenn der entsprechende Dienst nicht läuft? Also, wenn VNC nicht läuft, ist Port 5900 zu?

Wenn die Firewall läuft, dann sind alle Ports gesperrt bis auf diejenigen, die du explizit freigegeben hast. Ob da ein Dienst läuft oder nnicht, ist völlig egal.

Z.B. kannst Du den Port 80 sperren, egal ob ein Webserver läuft oder nicht. Solange kein Webserver läuft ist es natürlich auch egal, ob der Port gesperrt ist oder nicht.

[Florian]

Nein!
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.

Darum ging es doch, er fragte, warum er für die Netzwerkuhr eine Verbindung freigeben muss und fürs Webbrowsen nicht. Auch habe ich nicht explizit von der Apple-Firewall geschrieben. Der Unterschied zwischen rein und raus ist mir bekannt.

warlord: Ist schon klar, nur ist es in der Regel so vorkonfiguriert, im Consumerbereich.  War fahrlässig formuliert, danke.

Jochen:
Natürlich läuft in beiden Fällen eine Software, was sonst? Ich meinte halt ein eigenes Gerät für die Firewall.
Die Vorteile sind hier wohl alle genannt, der Unterschied erläutert.  

[Jochen]

Jochen:
Natürlich läuft in beiden Fällen eine Software, was sonst? Ich meinte halt ein eigenes Gerät für die Firewall.
Die Vorteile sind hier wohl alle genannt, der Unterschied erläutert.  

Klaro.
Das habe ich mittlerweile ja auch gelernt. Es geht aber doch wohl einiges mit der Definition der Begriffe durcheinander.
Echte Firewall, Hardware Firewall, Software Firewall, Apples  Firewall.
Habe allerdings den Eindruck, dass auch die technischen Insider hier einiges durcheinander bringen.
So simple scheint das mit der Netztwerksicherheit = Firewall nicht zu sein.
Dachte erst, ich wäre da etwas hinter dem Mond.

Ehe mir das wieder jemand falsch auslegt, ich meine das nicht als Kritik.

Jochen

[radneuerfinder]

Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können?

Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.

[MacFlieger]

Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.

D.h. Du hast ein lokales Netz mit einem Router? Dann ist ein Zugriff vom Internet her sowieso nicht möglich, denn dann bleiben die Pakete schon am Router hängen.
InternetSharing hat damit nichts(!) zu tun. Internet Sharing ist der Name für den Software-Router, d.h. Dein Mac ist direkt mit dem Internet verbunden, und andere Rechner im lokalen Netz müssen über Deinen Mac als Router ins Internet gehen.