Netbarrier und Apples Firewall

[warlord]

Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.

Das ist halt genau das Problem, das man mit jeder Firewall hat, die auf einem "Nutzsystem" läuft, also auch mit der in OS X integrierten. Eine solche Firewall kann grundsätzlich nur den eigenen Computer als geschützten Bereich betrachten. Hat man selbst mehrere Computer (also ein kleines Netzwerk) gibt es eigentlich nichts anderes, als solche Dinger gänzlich auszuschalten. Die Firewall gehört dann definitiv an den Gateway zwischen dem eigenen Netzwerk und dem Internet (also in der Regel auf den DSL-/Kabel-Router).

[MacFlieger]

Echte Firewall, Hardware Firewall, Software Firewall, Apples  Firewall.

Echte Firewall=eigenes Gerät zwischen Computer und Internet, auf dem eine Software zum filtern läuft.
Hardware Firewall=Echte Firewall
Software Firewall=Filtersoftware auf dem zu schützenden Rechner selber (eigentlich Paketfilter)
Apple Firewall=die bei OS X mitgelieferte Software Firewall

Habe allerdings den Eindruck, dass auch die technischen Insider hier einiges durcheinander bringen.

Oh ja, da wird viel an Begriffen durcheinandergeworfen. Vor allem, weil bei auf dem Nutzrechner laufenden Paketfiltern fast immer von Firewall gesprochen wird.

So simple scheint das mit der Netztwerksicherheit = Firewall nicht zu sein.

Weil Netzwerksicherheit nichts mit Firewall zu tun hat!

Ehe mir das wieder jemand falsch auslegt, ich meine das nicht als Kritik.

Deshalb schrieb ich ja, ich werde das mal versuchen zusammenzufassen.

[mbs]

Hier gingen die Begriffe tatsächlich ziemlich durcheinander, MacFlieger hat aber das meiste schon sehr gut erklärt.

Was eine "echte" Firewall ist, ist natürlich Ansichtssache und kann je nach Umgebung sehr verschieden sein. Ich würde aber genauso sagen, dass ein Paketfilter (und damit das, was Apple in Mac OS X als "Firewall" bezeichnet) eigentlich keine Firewall ist.

Ein Paketfilter kann nicht mehr tun, als Sende- und Empfangsports sowie Sende- und Empfangsadressen jedes Datenpakets zu prüfen, wobei der betroffene Netzwerkanschluss und die Senderichtung in die Prüfung mit eingehen kann. Hierbei werden grundsätzlich alle Pakete blockiert und nur Pakete, die bestimmte Kombinationen von Ports und Adressen aufweisen, durchgelassen. In gewissen Grenzen kann ein solcher Paketfilter noch mehr, er kann beim Beobachten bestimmter Pakete in einen "Sonderstatus" gebracht werden (Stateful Packet Inspection), in dem er für einen gewissen Zeitraum fast alle Pakete in eine bestimmte Richtung zwischen einem Sender-/Empfängerpaar  durchlässt, dessen Kommunikation sich kurz vorher als unverdächtig herausgestellt hat. Das ist zum Beispiel für den Zugriff auf FTP-Server nötig, da es zu den Eigenheiten von FTP gehört, Portnummern quasi auszulosen, so dass sie im Vorhinein nicht bekannt sind und ansonsten FTP-Pakete immer ausgefiltert werden würden.

Eine "echte" Firewall geht hier noch viel weiter: Sie überprüft auch die Inhalte der Pakete und kann mehrere dieser Statusbeobachtungen auch auf einer Vielzahl unterschiedlicher Ports gleichzeitig durchführen, diese anhand komplexer Regeln bewerten und korrekt zuordnen. Es handelt sich immer um eigene Hardware. Für solche Firewalls bezahlt man üblicherweise 4- bis 5-stellige Beträge. Sie sind meistens so kompliziert einzurichten, dass man dazu in der Regel eine eigene Firma mit lange laufenden Wartungsverträgen beauftragt.

Zu den anderen Fragen:

• Ports, die nicht von einem Netzdienst, den man anbietet, genutzt werden, sind sowieso "zu". Es ist also weder eine Tür, noch eine Wand vorhanden. Da ist noch nicht mal ein Gebäude...
• Paketfilter sind so vorprogrammiert, dass sie alle auf den Netzwerkanschlüssen eingehenden Anfragen sperren. Da ist auch nichts für HTTP und Mail offen. Nur bei Netzkommunikation, die von Innen nach Außen geht wird zugelassen, dass der jeweilige Kommunikationspartner (und nur der) Rückantworten senden darf. Deshalb kann man z.B. Safari nutzen, auch wenn alle Ports gesperrt sind.
• Richtet man einen Netzwerkdienst auf seinem Rechner ein, öffnet man damit einen oder mehrere Ports ("Türen"). Schaltet man nun die Firewall ein, werden alle Türen wieder "zugemauert". Gibt man diese Türen in der Firewall frei, werden diese überwacht und anhand gewisser Regeln geöffnet.
• Eine Paketfilter-Firewall weiß eigentlich nicht, was "das Internet" ist! Je nachdem, wo die Firewall sich befindet, kann sie also Rechner im eigenen Netzwerk nicht von Rechnern im Internet unterscheiden.
• Die Funktion "Internet-Sharing" richtet auf einem Computer, der mindestens zwei Netzwerkanschlüsse hat, einen NAT-Router ein. Wird an einem Anschluss eine Verbindung ins Internet hergestellt, können dann nicht nur dieser Computer, sondern auch alle Computer in einem Netz, die an dem anderen Netzwerkanschluss hängen, auf das Internet zugreifen. Hierzu routet der sharende Computer die Pakete von einem Netz in das andere und schreibt die Sende-/Empfangsadressenin in jedem Paket um, so dass so getan wird, als wäre nur der eine Computer im Internet.
• Paketfilter im Consumer-Bereich müssen einfach zu bedienen sein. Daher werden einige "Grundregeln" bereits einprogrammiert, ohne dass der Benutzer etwas einzustellen braucht. Wie gesagt ist die übliche Grundannahme, den Datenverkehr von innen nach außen komplett zu erlauben und von außen nach innen komplett zu sperren, es sei denn, es handelt sich um direkte Rückantworten auf eine Anfrage von innen nach außen.

Bei Jochen ist die Sache kompliziert, denn er betreibt offensichtlich zwei Software-Consumer-Paketfilter-Firewalls auf einem Rechner, der als Router zwischen zwei Netzen fungiert. Da die Firewalls nicht wissen können, welche der beiden Netze (Ethernet oder Airport) ins Internet führen, sind Probleme vorprogrammiert. Die korrekte Lösung wäre zum einen, nur NetBarrier zu verwenden, zum anderen, für beide Netzwerkschnittstellen von Hand (!) unterschiedliche Sätze von Regeln zu programmieren. Die Rechner im Airport-Netz müssen ja ganz anders behandelt werden, als die Rechner am Ethernet-Port. Beides ist für den Paketfilter "außen".

Eine Firewall garantiert noch keine Netzwerksicherheit. Vor Viren oder trojanischen Pferden, die übers Netz hereinkommen, schützen sie zum Beispiel überhaupt nicht.

[radneuerfinder]

Dieser Thread war ja mal wieder extra lehrreich!   Eine VerständnisFrage habe ich aber noch.

Mit der Einstellung Musik/Photo-Ordner 'gemeinsam nutzen' tauchen die freigegebenen Ordner automatisch und netzwerkweit bei iTunes und iPhoto auf. Über das Internet bekomme ich aber nie freigegebene iTunes WiedergabeListen zu sehen. Mein iBook hängt normalerweise direkt am DSL Modem und ist nur manchmal in Netzwerken zu Gast (Firmen, Hotels, Hotspots, etc.).

Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?

[Patrick]

Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?

Indem es, wie auch iTunes, iChat und Safari, Bonjour bzw. Rendezvous/ZeroConf verwendet. Eine detaillierte Beschreibung, wie Bonjour funktioniert, findet sich hier. Im Grunde ist es ein serverloses Netzwerk, daß parallel zum eigentlichen Netzwerk existieren kann und in dem jeder angeschlossene Rechner seine Dienste veröffentlicht. Da der verwendete IP-Kreis (169.254.x.x) nicht geroutet wird, bleiben solche Netze lokal; somit werden diese Dienste auch nie automatisch über das Internet verfügbar sein.

[mbs]

Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?

Eigentlich tut es das nicht. Wenn Du das Sharing in iPhoto einschaltest, wird der Port 8770 auf Deinem Computer angelegt und geöffnet. Wenn jemand zufällig Deine derzeitige IP-Adresse kennt und Dein Netzwerk sonst nicht geschützt ist, könnte er die iPhoto-Bilder auch vom Internet her abrufen.

Trotzdem besteht ein gewisser Schutz, denn Apple verrät nicht genau, wie das mit dem iPhoto-Sharing funktioniert. Deshalb kann nur iPhoto selbst die geshareten Bilder abrufen und das ist so programmiert, dass nur Computer im lokalen Netzwerk gefunden werden. Jemand, der Deine Bilder vom Internet aus abrufen will, müsste also das iPhoto-Sharing erst analysieren und mit einem eigenen Programm nachbauen.

Wie Patrick schon geschrieben hat, wird zum Finden anderer iPhoto-Rechner die Technik "Bonjour" verwendet. Die Begründung mit den 169.254.x.x-Adressen stimmt nur dann, wenn sich das Bonjour-Netzwerk selbst konfigurieren musste. Befindet sich Dein Rechner jedoch am DSL-Modem oder an einem drahtlosen Hotspot, dann bekommt er eine routbare Adresse zugewiesen, die von Bonjour verwendet wird.

Der eigentliche Grund ist also ein anderer: Bonjour basiert technisch auf sogenannten "verbindungs-lokalen Multirundruf-DNS-Anfragen". Solche Anfragen werden von Rechnern oder Routern niemals in ein fremdes Netz weitergeleitet (egal welche IP-Adressen zum Einsatz kommen). Deshalb können die Such- und Ankündigungsnachrichten Dein eigenes Netz nicht verlassen und somit kann ein iPhoto-Programm in einem anderen Netz Deinen Rechner nicht finden. Wie gesagt könnte das nur ein Angreifer, der das iPhoto-Protokoll analysiert hat und "manuell" nach Deinem Rechner suchen würde.

[Florian]

Ein bisschen Off-Topic:
Im Falle von iTunes war es doch eine Zeit lang so (einen Monat von iTunes 4.0 bis 4.0.1), daß man ohne Probleme seine Playlists übers Internet streamen konnte, heute geht das nur noch mit Zusatzprogrammen und Tricks.
Verwendete Apple damals ein anderes Protokoll (Rendezvous/Bonjour gab es ja schon) oder was haben sie da sonst verändert?

[mbs]

Verwendete Apple damals ein anderes Protokoll (Rendezvous/Bonjour gab es ja schon) oder was haben sie da sonst verändert?

Bonjour hat mit dem Sharing eigentlich gar nichts zu tun. Es ist nur eine Technik zum automatischen Selbstkonfigurieren von TCP/IP-Netzen und zum Finden anderer Computer. Das ist alles. Nutzdaten übertragen kann Bonjour nicht. Nachdem zwei Computer sich im Netz gefunden haben, spielt Bonjour für die weitere Kommunikation zwischen beiden keine Rolle mehr.

In iTunes ist es, soweit ich weiß, so, dass beide Computer vor dem Übertragen der Nutzdaten gegenseitig ihre IP-Adressen und den Kommunikationsweg dazwischen prüfen. Liegen die Rechner in unterschiedlichen Teilnetzen, wird die Verbindung wieder abgebrochen und das Sharing verweigert. Man kann das wohl austricksen, indem man beide Rechner über ein (=1) virtuelles Netz kommunizieren lässt, z.B. mit VPN, einem SSH-Tunnel oder einem sich tarnenden Weiterleitungs-Proxy-Server.

[MacFlieger]

So, wie versprochen, habe ich mal ein paar Sachen bezgl. Firewalls usw. zusammengeschrieben. Diskussion und Verbesserung ist auf jeden Fall noch notwendig. Also los.