Apfelinsel
Mac-Software => Thema gestartet von: Jochen am Dezember 24, 2005, 16:37:08
-
Nutze Airport um vom PB über meinen Powermac ins Internet zu kommen.
In Netbarrier auf dem Powermac habe ich mein PB bei Vandalismus in Vetrauenswürdige Gruppe gelistet.
Wenn ich in Apples Systemerweiterung die Firewall aktiviere, funktioniert es nicht mit dem Zugriff aufs Internet.
Was muss denn in den Systemerweiterung beim Powermac bei aktivierter Firewall angehakt sein, damit es funtioniert.
"Personal Web Sharing (80, 427)"
Jochen
-
Im Tiger hätte ich diese Einstellung zu bieten.
-
Im Tiger hätte ich diese Einstellung zu bieten.
Internet Sharing habe ich ja auf dem Powermac aktiviert.
Mit dem PB greife ich ja via Airport auf den Powermac zu und komme ins Internet.
Da klappt ja auch problemlos.
Wenn ich allerdings auf dem Powermac die Firewall einschalte, kann ich NICHT mehr vom PB auf Internet zugreifen.
Jochen
-
Also, erstmal ist es schlecht, NetBarrier und die Apple FW gleichzeitig zu benutzen. Dann musst du, soweit ich das beurteilen kann, dein PB nicht in die Liste der "vertrauenswürdigen" Dinge aufnehmen, du brauchst nur die Regeln für NetBarrier auf Server einstellen. Es gibt da vorgefertigte Regelwerke in NB.
Zum Testen: Schalte NB auf Durchzug, also keine Einschränkungen und schalte dann die Apple FW ein. Natürlich mit Internetsharing.
-
Jochen, die Frage von Dir hatten wir doch schon mehrfach.
Internet Sharing und die Apple Firewall zusammen funktioniert nicht, weil die Apple Firewall alle Kontaktversuche von außen, also auch die vom PB, blockt.
Du müßtest entweder alle Port freigeben, was die Firewall effektiv abschaltet, oder besser nur für das PB alle Ports freigeben. Beides kann man mit der GUI von OS X nicht machen. Die GUI von OS X bietet ja nur rudimentäre Einstellmöglichkeiten der Apple Firewall. Wesentlich feiner kann man die Apple Firewall mit Brickhouse einstellen. Aber bitte, laß es. ;)
Wie Thyrfing schon schrieb, ist es absolut sinnlos zwei Firewalls gleichzeitig laufen zu lassen. Mehr Sicherheit bietet es nicht und die beiden kommen sich allerhöchstens in die Quere.
Wier schon mehrfach erwähnt: Besorg' Dir einen WLAN-Router. Die gibt es günstig bei eBay oder bei einem neuen Provider-Vertrag. Dieses Internet-Sharing ist nur eine Krücke für den Notfall mit vielen Nachteilen.
Tschö, MacFlieger.
-
Noch was zu NetBarrier:
Ich halte NetBarrier für die allermeisten Privat-Leute für überflüssig, nein, sogar für kontraproduktiv. Warum?
- Wer einen Router benutzt, benötigt auf dem Computer keine zusätzliche Firewall.
- Wer keinen Router benutzt, hat meistens einen Einzel-Computer, der überhaupt keine Dienste anbietet, und braucht daher auch keine Firewall.
Wenn man aber doch eine Firewall zur Sicherheit haben möchte:
- Die Apple Firewall blockt alle Verbindungen von außen, außer denjenigen, die man absichtlich erlaubt. Mehr muß eine Firewall nicht können oder tun.
- NetBarrier bietet viele tolle Berichte und Einstellmöglichkeiten. Aber wofür bei einem Privatanwender? Der will alles blocken und gut. Es ist völlig überflüssig, sich anzuschauen, was geblockt wurde. Solche Berichte bauen Softwarehersteller nur ein, um dem Anwender zu demonstrieren, wie gut und wichtig seine Software ist.
- Da NetBarrier so viele Möglichkeiten zur Einstellung hat, muß man sich auch damit beschäftigen und wissen, was man da tut. Wenn man sich nicht mit den zugrundeliegenden Netzwerken auskennt, hat man sich schnell ein Loch in der Firewall geöffnet, weil ansonsten was nicht funktioniert. Z.B. hast Du das PB in vertrauenswürdiger Gruppe bei Vandalismus eingeordnet. Weißt Du eigentlich, was das genau bedeutet und hast Du das aus diesem Grund eingestellt oder hast Du das einegstellt, weil das Internet-Sharing sonst nicht funktionierte? Ich vermute letzteres, d.h. dann Du hast die Firewall in einem nicht bekannten Ausmaß deaktiviert.
Ärgerlich ist leider, daß die Apple Firewall und Internet Sharing nicht zusammen können. Eindeutig ein Bug. Aber: Besorg Dir einen Router, Firewall/NetBarrier ist überflüssig und gut.
-
Sehe ich genauso wie MacFlieger.
Dann kannst Du den PowerMac auch mal ausschalten und mit dem Power Book trotzdem ins Netz. Oder mit irgendeinem anderen Rechner. Außerdem haben viele Router eine besser einstellbare Firewall als OS X und v.a. eine bessere Dokumentation.
Mal davon abgesehen, wie viel Zeit und Mühe Du schon auf NetBarrier und die Apple-Firewall verwendet hast! Das ist alles komplizierter gelöst als notwendig.
-
Der einzige Vorteil von NetBarrier ist, dass man auch den ausgehenden Datenverkehr unterbinden kann. Na ja, aber seit Monaten habe ich das nicht mehr installiert und bin mit der eingebauten Firewall auch glücklich. Ausserdem gehen wir hier eh mit einem Router in das Netz, also auch das unnötig. Beruhigt aber... ;D
-
Ich muss Euch gestehen, so ganz verstehe ich das mit der Firewall nicht.
Bisher hatte ich mir folgendes vorgestellt.
Analogie:
Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.
Die Pakete haben Frachtpapiere und die kontrolliert der Zoll.
Da muss zum Beispiel draufstehen
Absender:
Empfänger:
Inhalt:
Nun ein konkretes Beispiel A)
Absender: Obstplantage in Afrika
Empfänger: Grossmarkt in Frankfurt
Inhalt: Bananen
Also unverdächtig, durchlassen ;-)
Nun ein konkretes Beispiel B)
Absender: Firma in Grönland
Empfänger: Grossmarkt in Frankfurt
Inhalt: Bananen
Hmmm, ganz stimmt da was nicht. Bananen aus Grönland ? Besser nachschauen.
Nun ein konkretes Beispiel C)
Absender: Firma in Grönland
Empfänger: Uhrmachergeschäft in Frankfurt
Inhalt: Bananen
Nicht durchlassen, da ist bestimmt was faul.
Der Zoll = Firewall guckt aber nicht IN die Pakete !!!
Jochen
-
Also das Grundprinzip der Risikoanalyse des Zolls hast Du begriffen. ;)
-
Vielleicht erklärt dir dieser Artikel (http://de.wikipedia.org/wiki/Firewall) das Grundlegende einer Firewall.
-
Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.
Und bereits der erste Fehler in Deiner Analogie. Bei einer echten Firewall ist es tatsächlich so, denn die läuft nicht auf deinem Rechner (in Deinem Hafen), sondern vorher (in der Dreimeilen-Zone). Deine beiden Firewalls (NetBarrier und Apple Firewall) sind eigentlich streng genommen keine Firewalls, sondern Paketfilter und die laufen auf dem zu schützenden Rechner, d.h. erst werden die Schiffe in den Hafen gelassen und dort(!) dann geprüft. Sicherlich besser als kein Schutz, aber nicht so sicher wie eine echte Firewall.
Ich wiederhole mich:
- Wer einen Router benutzt, benötigt auf dem Computer keine zusätzliche Firewall. Pakete von außen (fremde Schiffe) werden überhaupt nicht in den Hafen gelassen, weil der Zoll (Router) nicht weiß in welchen Hafen (Rechner) er die schicken soll.
- Wer keinen Router benutzt, hat meistens einen Einzel-Computer, der überhaupt keine Dienste anbietet, und braucht daher auch keine Firewall. Wer keinen Dienst laufen hat, der hat überhaupt keine Anlegestellen!
Und nochmal:
- Die Apple Firewall blockt alle Verbindungen von außen, außer denjenigen, die man absichtlich erlaubt. Mehr muß eine Firewall nicht können oder tun. D.h. der läßt keine Schiffe von außen rein, was will man mehr?
- Da NetBarrier so viele Möglichkeiten zur Einstellung hat, muß man sich auch damit beschäftigen und wissen, was man da tut. Wenn man sich nicht mit den zugrundeliegenden Netzwerken auskennt, hat man sich schnell ein Loch in der Firewall geöffnet, weil ansonsten was nicht funktioniert. Z.B. hast Du das PB in vertrauenswürdiger Gruppe bei Vandalismus eingeordnet. Weißt Du eigentlich, was das genau bedeutet und hast Du das aus diesem Grund eingestellt oder hast Du das eingestellt, weil das Internet-Sharing sonst nicht funktionierte? Ich vermute letzteres, d.h. dann Du hast die Firewall in einem nicht bekannten Ausmaß deaktiviert. Beantworte doch bitte mal die Frage und denk darüber nach. Du vergeudest viel zeit und Energie für eine völlig überflüssige Sache, die die nur Probleme macht und keinen(!) Vorteil bringt.
Der Zoll = Firewall guckt aber nicht IN die Pakete !!!
Und was willst Du mit Deinem Beispiel sagen???
-
Ich verstehs auch nicht. ;D
Und zwar:
Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall. Das verstehe ich nicht.
Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
- File Sharing
- Windows Sharing
- vnc
- iChat Bonjour
- iTunes & iPhoto Bonjour Sharing
- Netzwerkzeit
Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. ???
-
Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
- File Sharing
- Windows Sharing
- vnc
- iChat Bonjour
- iTunes & iPhoto Bonjour Sharing
- Netzwerkzeit
Warum hast Du das machen lassen? Warum müssen fremde Leute auf Deine freigegebenen Ordner zugreifen, auf Deine Netzwerkzeit, auf Deine Musik und Bilder?
Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. ???
??? Was meinst Du damit?
-
Und zwar:
Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall. Das verstehe ich nicht.
Ist auch nicht richtig. Eine Firewall blockt nur, was ihr aufgegeben. Öffnet man einen Port, kann sie höchstens noch protokollieren.
Ich z.B. habe folgende Löcher in meine Firewall gemacht (von Programmen machen lassen):
- File Sharing
- Windows Sharing
- vnc
- iChat Bonjour
- iTunes & iPhoto Bonjour Sharing
- Netzwerkzeit
Safari, Mail und Skype können anscheinend direkt durch Mauern gehen. ???
Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.
Skype braucht TCP-Connections und ist da nicht so wählerisch. Man kann es aber sehr wohl blocken, siehe zum Thema z.B.: http://www.skype.com/help/guides/firewall.html
Standardmäßig ist es halt bei Dir durchgekommen, weil die Firewall eben nicht alles blockt. Das wäre aber schon möglich.
-
Hafen ist der Rechner.
Vor dem Hafen gibt es die 3 Meilen Zone.
Da patroulliert der Zoll und kontrolliert die ankommenden Schiffe, die Pakete geladen haben.
Und bereits der erste Fehler in Deiner Analogie. Bei einer echten Firewall ist es tatsächlich so, denn die läuft nicht auf deinem Rechner (in Deinem Hafen), sondern vorher (in der Dreimeilen-Zone). Deine beiden Firewalls (NetBarrier und Apple Firewall) sind eigentlich streng genommen keine Firewalls, sondern Paketfilter und die laufen auf dem zu schützenden Rechner, d.h. erst werden die Schiffe in den Hafen gelassen und dort(!) dann geprüft. Sicherlich besser als kein Schutz, aber nicht so sicher wie eine echte Firewall.
a) Was ist denn der Unterschied zwischen einer echten Firewall und einem Paketfilter ?
b) Ist ein Paketfilter eine unechte Firewall ?
c) Ist ein Paketfilter das was ich beschrieben habe ?
Jochen
-
Also, mit den Bezeichnungen bin ich nicht so ganz sicher, sagen wir mal Software- und Hardware-Firewall.
Wo der Unterschied ist, wurde schon beschrieben.
Sicherheitstechnisch ist es insofern relevant, daß z.B. ein per Email eingefangener Virus die SW-Firewall lahmlegt und sich fortan frei verbinden kann, in beide Richtungen. Und viel wahrscheinlicher: Das eine schlecht konfigurierte oder schlecht programmierte SW-Firewall ein Loch öffnet.
Das ist alles mit einer HW-Firewall deutlich unwahrscheinlicher, insofern ist sie sicherer.
Und noch was: Die HW-Firewall belastet nicht die Ressourcen des benutzten Rechners.
-
Wenn ich den Link von Chucky bei wikipedia lese, gibt es prinzipiell keinen Unterschied zwischen einer Software und Hardware Firewall.
Zitat:
Host-Firewall(Software) und Netzwerk-Firewall(Hardware)
Umgangssprachlich wird häufig von Hardware- oder Software-Firewalls gesprochen. Bei dieser Unterscheidung handelt es sich in erster Linie um eine nicht-technische Definition. Die Unterscheidung von Hard- und Softwarefirewall ist technisch gesehen unsinnig. Zu jeder Firewall gehört Software, und die muß auf Hardware ausgeführt werden. Fälschlicherweise werden dedizierte Router, auf denen die Firewallsoftware ausgeführt wird, als Hardwarefirewall bezeichnet. Personalfirewalls werden oft als Softwarefirewall bezeichnet, die aber werden auf dem PC ausgeführt. Sie benötigen also den PC als Hardware.
Jochen
-
Eine reale Mauer mit offener Tür bietet - finde ich - kaum mehr Schutz als keine Mauer. Am Computer bietet eine Firewall mit geöffneten Ports aber angeblich deutlich mehr Schutz als keine Firewall.
Nun ja, eine Firewall kann, oder meistens muss man wohl sagen könnte, natürlich wesentlich mehr sein, als nur eine Mauer mit geöffneten oder geschlossenen Türen. Sie stellt eigentlich eher den Türsteher dar, dem man entsprechende Anweisungen erteilen könnte, wen er rein- und/oder rauslassen darf und wen nicht. Es ist halt einfach so, dass die GUI-Bordmittel von OS X nichts anderes Zulassen, als Türen zu öffnen und zu schliessen.
-
Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.
In einer korrekt konfigurierten Firewall sollten diese Ports eigentlich nicht per se freigeschaltet sein, wenn Du keine entsprechenden Serverdienste anbietest (also einen Web- oder Mailserver laufen hast). Die Firewall darf dann eigentlich nur Verbindungen erlauben, weche aus dem Innern des geschützten Netzwerks initiiert worden sind.
-
Warum hast Du das machen lassen? Warum müssen fremde Leute auf Deine freigegebenen Ordner zugreifen, auf Deine Netzwerkzeit, auf Deine Musik und Bilder?
Musik und einige FotoOrdner habe ich bewußt in den iApps freigegeben und anderen und mir dadurch große Freude bereitet. :)
Die anderen Dienste haben sich eher so nebenbei ergeben. Bei Netzwerkzeit kann ich nur rätseln. Ob das Häkchen bei Virtuel PC "PC Zeit vom Mac übernehmen" diesen Port öffnet?
Eine Firewall blockt nur, was ihr aufgegeben. Öffnet man einen Port, kann sie höchstens noch protokollieren.
Warum wird denn eine löchrige Mauer ("per se freigegeben") immer als so wichtig für die Computersicherheit genannt?
-
Die Ports für HTTP und HTTPS sowie für die gängigen Email-Dienste sind per se freigegeben. Die müsste man also schon explizit blocken.
Nein!
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.
-
a) Was ist denn der Unterschied zwischen einer echten Firewall und einem Paketfilter ?
Bei einer echten Firewall findet die Filterung außerhalb Deines Computers statt, bevor die Pakete Deinen Computer erreichen (in der Dreimeilenzone). Die Software, die Du meinst, läßt ja zunächst mal alle Pakete auf Deinen Rechner (in den Hafen) und prüft erst dort, ob die Pakete gefiltert werden oder nicht. Dann könnte es schon zu spät sein.
b) Ist ein Paketfilter eine unechte Firewall ?
Ein Paketfilter ist keine Firewall. s.o.
c) Ist ein Paketfilter das was ich beschrieben habe ?
Nein, Du hast eine Firewall beschrieben, die Du nicht hast.
-
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.
Das klingt ja nicht schlecht! Macht denn die Firewall auch die Tür zu wenn der entsprechende Dienst nicht läuft? Also, wenn VNC nicht läuft, ist Port 5900 zu?
-
Musik und einige FotoOrdner habe ich bewußt in den iApps freigegeben und anderen und mir dadurch große Freude bereitet. :)
Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können? Wenn nein, ist das "Loch" völliger Unsinn.
Warum wird denn eine löchrige Mauer ("per se freigegeben") immer als so wichtig für die Computersicherheit genannt?
Das steht nur bei Leuten, die Dir eine "Firewall" verkaufen wollen, die Windows benutzen oder keine Ahnung haben.
Eine Firewall wird dann benötigt, wenn ein Dienst auf dem Computer läuft, der aus dem Internet nutzbar ist, obwohl man das nicht möchte. Eigentlich ist der Dienst dann falsch konfiguriert, denn besser wäre es den Dienst so zu konfigurieren, daß er nicht aus dem Internet nutzbar ist. Die schlechtere Lösung ist es eine "Firewall" mit dieser Aufgabe zu betreuen. Auf dem Mac laufen im Lieferzustand keine Dienste, also keine Firewall notwendig. unter Win laufen jede Menge Dienste, die Zugriffe erlauben, die fehlerhaft sind etc. Dort ist eine "Firewall" Pflicht.
Ich glaube, ich setze mich mal hin und schreibe mal die Funktionsweise einer Firewall auf. Hier in diesem Thread läuft ja einiges durcheinander.
-
Das klingt ja nicht schlecht! Macht denn die Firewall auch die Tür zu wenn der entsprechende Dienst nicht läuft? Also, wenn VNC nicht läuft, ist Port 5900 zu?
Wenn die Firewall läuft, dann sind alle Ports gesperrt bis auf diejenigen, die du explizit freigegeben hast. Ob da ein Dienst läuft oder nnicht, ist völlig egal.
Z.B. kannst Du den Port 80 sperren, egal ob ein Webserver läuft oder nicht. Solange kein Webserver läuft ist es natürlich auch egal, ob der Port gesperrt ist oder nicht.
-
Nein!
Die Apple Firewall blockt alle(!) Verbindungen, die von außen initiiert werden, außer denen, die man explizit freigibt. Trotzdem kann man natürlich mit Safari surfen, Mails abholen usw. usf, denn das sind alles Verbindungen die von innen(!) initiiert sind! Die Apple Firewall blockt nur alle Verbindungen, die ungefragt von außen kommen.
Darum ging es doch, er fragte, warum er für die Netzwerkuhr eine Verbindung freigeben muss und fürs Webbrowsen nicht. Auch habe ich nicht explizit von der Apple-Firewall geschrieben. Der Unterschied zwischen rein und raus ist mir bekannt. ;)
warlord: Ist schon klar, nur ist es in der Regel so vorkonfiguriert, im Consumerbereich. War fahrlässig formuliert, danke.
Jochen:
Natürlich läuft in beiden Fällen eine Software, was sonst? Ich meinte halt ein eigenes Gerät für die Firewall.
Die Vorteile sind hier wohl alle genannt, der Unterschied erläutert.
-
Jochen:
Natürlich läuft in beiden Fällen eine Software, was sonst? Ich meinte halt ein eigenes Gerät für die Firewall.
Die Vorteile sind hier wohl alle genannt, der Unterschied erläutert.
Klaro.
Das habe ich mittlerweile ja auch gelernt. Es geht aber doch wohl einiges mit der Definition der Begriffe durcheinander.
Echte Firewall, Hardware Firewall, Software Firewall, Apples Firewall.
Habe allerdings den Eindruck, dass auch die technischen Insider hier einiges durcheinander bringen.
So simple scheint das mit der Netztwerksicherheit = Firewall nicht zu sein.
Dachte erst, ich wäre da etwas hinter dem Mond.
Ehe mir das wieder jemand falsch auslegt, ich meine das nicht als Kritik.
Jochen
-
Du möchtest also, daß fremde Leute aus dem Internet auf Deine Ordner, Bilder, Musik etc. zugreifen können?
Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.
-
Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.
D.h. Du hast ein lokales Netz mit einem Router? Dann ist ein Zugriff vom Internet her sowieso nicht möglich, denn dann bleiben die Pakete schon am Router hängen.
InternetSharing hat damit nichts(!) zu tun. Internet Sharing ist der Name für den Software-Router, d.h. Dein Mac ist direkt mit dem Internet verbunden, und andere Rechner im lokalen Netz müssen über Deinen Mac als Router ins Internet gehen.
-
Meine Intention ist, dass Leute aus dem Netzwerk zugreifen können, was ja auch klappt. In den Systemeinstellungen steht nach wie vor "Internet Sharing ist deaktiviert", deswegen gehe ich mal davon aus, dass das nicht klappt.
Das ist halt genau das Problem, das man mit jeder Firewall hat, die auf einem "Nutzsystem" läuft, also auch mit der in OS X integrierten. Eine solche Firewall kann grundsätzlich nur den eigenen Computer als geschützten Bereich betrachten. Hat man selbst mehrere Computer (also ein kleines Netzwerk) gibt es eigentlich nichts anderes, als solche Dinger gänzlich auszuschalten. Die Firewall gehört dann definitiv an den Gateway zwischen dem eigenen Netzwerk und dem Internet (also in der Regel auf den DSL-/Kabel-Router).
-
Echte Firewall, Hardware Firewall, Software Firewall, Apples Firewall.
Echte Firewall=eigenes Gerät zwischen Computer und Internet, auf dem eine Software zum filtern läuft.
Hardware Firewall=Echte Firewall
Software Firewall=Filtersoftware auf dem zu schützenden Rechner selber (eigentlich Paketfilter)
Apple Firewall=die bei OS X mitgelieferte Software Firewall
Habe allerdings den Eindruck, dass auch die technischen Insider hier einiges durcheinander bringen.
Oh ja, da wird viel an Begriffen durcheinandergeworfen. Vor allem, weil bei auf dem Nutzrechner laufenden Paketfiltern fast immer von Firewall gesprochen wird.
So simple scheint das mit der Netztwerksicherheit = Firewall nicht zu sein.
Weil Netzwerksicherheit nichts mit Firewall zu tun hat!
Ehe mir das wieder jemand falsch auslegt, ich meine das nicht als Kritik.
Deshalb schrieb ich ja, ich werde das mal versuchen zusammenzufassen.
-
Hier gingen die Begriffe tatsächlich ziemlich durcheinander, MacFlieger hat aber das meiste schon sehr gut erklärt.
Was eine "echte" Firewall ist, ist natürlich Ansichtssache und kann je nach Umgebung sehr verschieden sein. Ich würde aber genauso sagen, dass ein Paketfilter (und damit das, was Apple in Mac OS X als "Firewall" bezeichnet) eigentlich keine Firewall ist.
Ein Paketfilter kann nicht mehr tun, als Sende- und Empfangsports sowie Sende- und Empfangsadressen jedes Datenpakets zu prüfen, wobei der betroffene Netzwerkanschluss und die Senderichtung in die Prüfung mit eingehen kann. Hierbei werden grundsätzlich alle Pakete blockiert und nur Pakete, die bestimmte Kombinationen von Ports und Adressen aufweisen, durchgelassen. In gewissen Grenzen kann ein solcher Paketfilter noch mehr, er kann beim Beobachten bestimmter Pakete in einen "Sonderstatus" gebracht werden (Stateful Packet Inspection), in dem er für einen gewissen Zeitraum fast alle Pakete in eine bestimmte Richtung zwischen einem Sender-/Empfängerpaar durchlässt, dessen Kommunikation sich kurz vorher als unverdächtig herausgestellt hat. Das ist zum Beispiel für den Zugriff auf FTP-Server nötig, da es zu den Eigenheiten von FTP gehört, Portnummern quasi auszulosen, so dass sie im Vorhinein nicht bekannt sind und ansonsten FTP-Pakete immer ausgefiltert werden würden.
Eine "echte" Firewall geht hier noch viel weiter: Sie überprüft auch die Inhalte der Pakete und kann mehrere dieser Statusbeobachtungen auch auf einer Vielzahl unterschiedlicher Ports gleichzeitig durchführen, diese anhand komplexer Regeln bewerten und korrekt zuordnen. Es handelt sich immer um eigene Hardware. Für solche Firewalls bezahlt man üblicherweise 4- bis 5-stellige Beträge. Sie sind meistens so kompliziert einzurichten, dass man dazu in der Regel eine eigene Firma mit lange laufenden Wartungsverträgen beauftragt.
Zu den anderen Fragen:
- Ports, die nicht von einem Netzdienst, den man anbietet, genutzt werden, sind sowieso "zu". Es ist also weder eine Tür, noch eine Wand vorhanden. Da ist noch nicht mal ein Gebäude...
- Paketfilter sind so vorprogrammiert, dass sie alle auf den Netzwerkanschlüssen eingehenden Anfragen sperren. Da ist auch nichts für HTTP und Mail offen. Nur bei Netzkommunikation, die von Innen nach Außen geht wird zugelassen, dass der jeweilige Kommunikationspartner (und nur der) Rückantworten senden darf. Deshalb kann man z.B. Safari nutzen, auch wenn alle Ports gesperrt sind.
- Richtet man einen Netzwerkdienst auf seinem Rechner ein, öffnet man damit einen oder mehrere Ports ("Türen"). Schaltet man nun die Firewall ein, werden alle Türen wieder "zugemauert". Gibt man diese Türen in der Firewall frei, werden diese überwacht und anhand gewisser Regeln geöffnet.
- Eine Paketfilter-Firewall weiß eigentlich nicht, was "das Internet" ist! Je nachdem, wo die Firewall sich befindet, kann sie also Rechner im eigenen Netzwerk nicht von Rechnern im Internet unterscheiden.
- Die Funktion "Internet-Sharing" richtet auf einem Computer, der mindestens zwei Netzwerkanschlüsse hat, einen NAT-Router ein. Wird an einem Anschluss eine Verbindung ins Internet hergestellt, können dann nicht nur dieser Computer, sondern auch alle Computer in einem Netz, die an dem anderen Netzwerkanschluss hängen, auf das Internet zugreifen. Hierzu routet der sharende Computer die Pakete von einem Netz in das andere und schreibt die Sende-/Empfangsadressenin in jedem Paket um, so dass so getan wird, als wäre nur der eine Computer im Internet.
- Paketfilter im Consumer-Bereich müssen einfach zu bedienen sein. Daher werden einige "Grundregeln" bereits einprogrammiert, ohne dass der Benutzer etwas einzustellen braucht. Wie gesagt ist die übliche Grundannahme, den Datenverkehr von innen nach außen komplett zu erlauben und von außen nach innen komplett zu sperren, es sei denn, es handelt sich um direkte Rückantworten auf eine Anfrage von innen nach außen.
Bei Jochen ist die Sache kompliziert, denn er betreibt offensichtlich zwei Software-Consumer-Paketfilter-Firewalls auf einem Rechner, der als Router zwischen zwei Netzen fungiert. Da die Firewalls nicht wissen können, welche der beiden Netze (Ethernet oder Airport) ins Internet führen, sind Probleme vorprogrammiert. Die korrekte Lösung wäre zum einen, nur NetBarrier zu verwenden, zum anderen, für beide Netzwerkschnittstellen von Hand (!) unterschiedliche Sätze von Regeln zu programmieren. Die Rechner im Airport-Netz müssen ja ganz anders behandelt werden, als die Rechner am Ethernet-Port. Beides ist für den Paketfilter "außen".
Eine Firewall garantiert noch keine Netzwerksicherheit. Vor Viren oder trojanischen Pferden, die übers Netz hereinkommen, schützen sie zum Beispiel überhaupt nicht.
-
Dieser Thread war ja mal wieder extra lehrreich! :D Eine VerständnisFrage habe ich aber noch. 8)
Mit der Einstellung Musik/Photo-Ordner 'gemeinsam nutzen' tauchen die freigegebenen Ordner automatisch und netzwerkweit bei iTunes und iPhoto auf. Über das Internet bekomme ich aber nie freigegebene iTunes WiedergabeListen zu sehen. Mein iBook hängt normalerweise direkt am DSL Modem und ist nur manchmal in Netzwerken zu Gast (Firmen, Hotels, Hotspots, etc.).
Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?
-
Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?
Indem es, wie auch iTunes, iChat und Safari, Bonjour (http://www.apple.com/de/macosx/features/bonjour/) bzw. Rendezvous/ZeroConf verwendet. Eine detaillierte Beschreibung, wie Bonjour funktioniert, findet sich hier (http://pdf.euro.apple.com/pdf/pn=BonjourTiger/MacOSX_Bonjour_TB.pdf). Im Grunde ist es ein serverloses Netzwerk, daß parallel zum eigentlichen Netzwerk existieren kann und in dem jeder angeschlossene Rechner seine Dienste veröffentlicht. Da der verwendete IP-Kreis (169.254.x.x) nicht geroutet wird, bleiben solche Netze lokal; somit werden diese Dienste auch nie automatisch über das Internet verfügbar sein.
-
Woher weiß iPhoto zu unterscheiden zwischen dem internen und dem weltweiten Netzwerk?
Eigentlich tut es das nicht. Wenn Du das Sharing in iPhoto einschaltest, wird der Port 8770 auf Deinem Computer angelegt und geöffnet. Wenn jemand zufällig Deine derzeitige IP-Adresse kennt und Dein Netzwerk sonst nicht geschützt ist, könnte er die iPhoto-Bilder auch vom Internet her abrufen.
Trotzdem besteht ein gewisser Schutz, denn Apple verrät nicht genau, wie das mit dem iPhoto-Sharing funktioniert. Deshalb kann nur iPhoto selbst die geshareten Bilder abrufen und das ist so programmiert, dass nur Computer im lokalen Netzwerk gefunden werden. Jemand, der Deine Bilder vom Internet aus abrufen will, müsste also das iPhoto-Sharing erst analysieren und mit einem eigenen Programm nachbauen.
Wie Patrick schon geschrieben hat, wird zum Finden anderer iPhoto-Rechner die Technik "Bonjour" verwendet. Die Begründung mit den 169.254.x.x-Adressen stimmt nur dann, wenn sich das Bonjour-Netzwerk selbst konfigurieren musste. Befindet sich Dein Rechner jedoch am DSL-Modem oder an einem drahtlosen Hotspot, dann bekommt er eine routbare Adresse zugewiesen, die von Bonjour verwendet wird.
Der eigentliche Grund ist also ein anderer: Bonjour basiert technisch auf sogenannten "verbindungs-lokalen Multirundruf-DNS-Anfragen". Solche Anfragen werden von Rechnern oder Routern niemals in ein fremdes Netz weitergeleitet (egal welche IP-Adressen zum Einsatz kommen). Deshalb können die Such- und Ankündigungsnachrichten Dein eigenes Netz nicht verlassen und somit kann ein iPhoto-Programm in einem anderen Netz Deinen Rechner nicht finden. Wie gesagt könnte das nur ein Angreifer, der das iPhoto-Protokoll analysiert hat und "manuell" nach Deinem Rechner suchen würde.
-
Ein bisschen Off-Topic:
Im Falle von iTunes war es doch eine Zeit lang so (einen Monat von iTunes 4.0 bis 4.0.1), daß man ohne Probleme seine Playlists übers Internet streamen konnte, heute geht das nur noch mit Zusatzprogrammen und Tricks.
Verwendete Apple damals ein anderes Protokoll (Rendezvous/Bonjour gab es ja schon) oder was haben sie da sonst verändert?
-
Verwendete Apple damals ein anderes Protokoll (Rendezvous/Bonjour gab es ja schon) oder was haben sie da sonst verändert?
Bonjour hat mit dem Sharing eigentlich gar nichts zu tun. Es ist nur eine Technik zum automatischen Selbstkonfigurieren von TCP/IP-Netzen und zum Finden anderer Computer. Das ist alles. Nutzdaten übertragen kann Bonjour nicht. Nachdem zwei Computer sich im Netz gefunden haben, spielt Bonjour für die weitere Kommunikation zwischen beiden keine Rolle mehr.
In iTunes ist es, soweit ich weiß, so, dass beide Computer vor dem Übertragen der Nutzdaten gegenseitig ihre IP-Adressen und den Kommunikationsweg dazwischen prüfen. Liegen die Rechner in unterschiedlichen Teilnetzen, wird die Verbindung wieder abgebrochen und das Sharing verweigert. Man kann das wohl austricksen, indem man beide Rechner über ein (=1) virtuelles Netz kommunizieren lässt, z.B. mit VPN, einem SSH-Tunnel oder einem sich tarnenden Weiterleitungs-Proxy-Server.
-
So, wie versprochen, habe ich mal ein paar Sachen bezgl. Firewalls (http://www.apfelinsel.de/forum/index.php?topic=672.0) usw. zusammengeschrieben. Diskussion und Verbesserung ist auf jeden Fall noch notwendig. Also los.