10.5 Leopard, Firewall, Ports, Dienste

In 10.4 Tiger konnte man in den Systemeinstellungen Sharing->Firewall selbige aktivieren und deaktivieren. Unter dem Punkt "Aktivieren" konnte man neue Dienste festlegen/definieren. In diesen war es möglich, Ports für die Netzwerk-Kommunikation freigeben. In 10.5 kann ich in der Systemeinstellung Sicherheit->Firewall zwar auch unter der 3. Option "Zugriff auf bestimmte Dienste und Programme festlegen" für Anwendungen eingehende Verbindungen zulassen oder blockieren, aber zwei Optionen finde ich in Leopard nicht:

1. Die Möglichkeit, den Anwendungen die Nutzung nur bestimmter Ports zu erlauben,
2. Den Verkehr über bestimmte Ports trotz aktiver Firewall generell, also ohne Bezug zu einer bestimmten Anwendung, zuzulassen.

Die Mac-Hilfe gibt sich eher spartanisch hinsichtlich der komplexen, sicherheitsrelevanten Themen "Netzwerk" und "Firewall" und bemüht sich wohl in Hinblick auf den "Normalbenutzer", den Ball flach zu halten bezüglich Fachbegrifflichkeit und tiefergreifender Information.

So können auch die Mac-Hilfe-Informationen "Festlegen des Firewall-Zugriffs für Dienste und Programme" und "Schützen Ihres Computers mithilfe einer Firewall" nicht weiterhelfen.

Zwar informiert letztgenannter Beitrag im letzten Absatz: "Die von integrierten Diensten genutzten Firewall-Anschlüsse können von Ihnen nicht bearbeitet werden. Solche Anschlüsse werden automatisch aktiviert bzw. deaktiviert, sobald Sie den entsprechenden Dienst im Bereich "Dienst" aktivieren bzw. deaktivieren." Aber sollte das auch die freie Portdefinition ausschließen?

Jeder Hinweis ist willkommen

 

Bitte auch dies beachten:
http://www.heise.de/newsticker/meldung/98460

Auch interressant zu wissen: siehe den weiterführenden Link am Ende

 

Hi,

neben den hier geschilderten Problematiken habe ich bisher noch folgende "Effekte" beobachtet:

1. Es scheint so zu sein, daß trotz eines vemeintlich offenen Ports dieser nicht unbedingt ausgenutzt werden kann.

2. Eine "Port-Firewall" genügt heute nicht mehr den notendigen Sicherheitsstandards. So machen Skype und Co gerne einen "Schweizer Käse" aus Paketfiltern.

http://www.heise.de/security/artikel/82054

3. Die genaue Arbeitsweise konnte noch nicht nachvollzogen werden. Anfragen der c't und auch anderer Fachzeitschriften bei Apple blieben bisher unbeantwortet.

Ich kann nur vermuten, daß:

a. Das System noch nicht ausgereift ist und ein 10.5.1 Update einiges begradigen sollte.

b. Bestimmte Mechanismen aus welchen Gründen auch immer noch geheim gehalten werden sollen.

Ich verlasse mich nicht auf die Leo-Firewall als alleinige Maßnahme und bin mit der Informationspolitik unzufrieden.

Gruß

Volker

 

Vielen Dank für Eure aufschlußreichen Hinweise und Links. Sehr interessant. Muß das alles noch in Ruhe durcharbeiten. Es wäre schön, wenn Ihr und natürlich auch alle anderen Forumnutzer dieses Thema in diesem Thread aktiv haltet und von weiteren, eigenen Erfahrungen berichtet sowie neue Erkenntnisse und Links hier mitteilt.

Natürlich wäre es auch erfreulich, wenn sich neben Apple selbst auch unsere deutschsprachige Fachpresse und/oder deren frei zugängliche Internetpräsenzen mit dem Thema erschöpfend befassen könnten, sodaß sich der verunsicherte Laie wie auch der FachMacianer ein Bild vom Sicherheitsstatus seines Apple-Computersystems machen kann.

Allen alles Gute

Malty

 

Hi,

leider hatte ich noch nicht die Zeit alles durchzutesten, hier aber schon mal die ersten Ergebnisse (wie gesagt ich bin kein Sicherheitsexperte):

1. Die Leo-Firewall macht wirklich die entsprechenden Ports auf wenn diese mittels sharing gestartet werden.

Macht irgendwie auch Sinn, da man das nicht ohne Grund tut. Man will ja kommunizieren. Den umgekehrte Test, ob die Ports automatisch wieder geschlossen werden, wenn der Dienst deaktiviert wird habe ich leider noch nicht getestet, steht aber zu vermuten.

2. Es stimmt, die Application Firewall "beschädigt" Skype und WOW durch code-signing.

Hierbei wird aber nicht wirklich etwas am File (xxx.app) verändert, sondern soviel ich bisher gefunden habe wird im Bundle (Eigentlich sind Mac-Programme "Ordner") eine Signatur für die Struktur hinterlegt. Ich muß noch mal die Entwicklerdoku hierzu bemühen, aber zumindest ist eine Menge hierzu dokumentiert.

Skype z.B. startet nicht mehr wenn man mit einem Tool wie XSlimmer unnötige Sprachbestandteile aus dem App-Bundle entfernt.
In beiden Fällen hilft ein "drüberbügeln" des dmg.

3. Es stimmt nicht, daß es kein komplette Abschottung möglich ist.

Sobald der Tarnmodus aktiviert war, konnte ich weder mittels Portscan einen freien Port ausmachen, noch war der Rechner im Netz sichbar, bzw. es konnte sich mit einem Dienst verbunden werden. Vielleicht kann das ein Profihacker - mir ist es nicht gelungen.

4. Angeblich wären die Systemdienste generell frei zugänglich.

Auch das kann ich so nicht bestätigen. Die meisten netzwerkrelevanten Dienste werden unter Leo erst gestartet, wenn sie über sharing aktiviert werden. Wo keiner läuft kann er auch nicht ausgenutzt werden.
Weiterhin verfügt Leopard über Sandboxing. Hierbei wird mittels zusätzlichem .sb-File dem entsprechenden Dienst und Programm noch zusätzlich mitgegeben, mit wem in welche Richtung (z.B. httpd-outgoing) dieser kommunizieren kann bzw. darf.


Vorwürfe die ich gelten lasse sind:

- Eine sicherheitstechnisch nicht optimale Grundkonfiguration
- Eine nicht für alle User sofort ersichtliche Arbeitsweise

Mein vorläufiges Fazit:

Man kann sicher über den einen oder anderen Punkt streiten aber generell sind die Sicherheitsmechanismen in Leopard ein großer Fortschritt.

In Kombination mit dem Paketfilter z.B. mit der von mir in den Test einbezogenen Airport Express Base (oder eines anderen Routers) ergibt sich ein deutlich engmaschigeres Sicherheitsnetz als unter Tiger.
Die Application-Firewall hat teilweise einen anderen Ansatz, aber so wie meine Kunden oft zwei Vierenscanner unter Windows verwenden um die Sicherheit zu steigern sehe ich auch hier einen mit wenigen Maus-clicks konfigurierten Sicherheitsbonus.

Wer ohne Router z.B. einen WLan-Hotspot verwendet sollte sich mit den erweiterten Einstellungen befassen, bevor er sich unterwegs in ein beliebiges Netz einklinkt.

Sicherheit ist nicht eine Maßnahme sondern ein Konzept.

Wenn der Heise-Autor behauptet hier wäre OSX 10.5 auf dem Stand wie WinXP vor vier Jahren, dann halte ich dies für fachlich falsch.

Gruß

Volker

Edit: Ich habe vergessen noch darauf hinzuweisen, das die Leo-Firewall keinen ausgehenden Traffic kontrolliert. Wer auch hier etwas tun will sollte sich Little Snitch 2.0 mal genauer ansehen.

 

Hallo Volker, zunächst vielen Dank für Deine ausführlichen Antwort. Nachdem ich die heisse-Artikel gelesen habe, neige ich dazu, wie dort angesprochen, zunächst einmal die Option "Zugriff auf bestimmte Dienste und Programme festlegen" zu aktivieren und abzuwarten, wie sich meine Anwendungen verhalten und welche Erfahrungen die anderen Benutzer machen.

Wer also bei dieser Firewall-Einstellung, wie in http://www.heise.de/newsticker/meldung/98460
beschrieben, auf das Code-Signing der Anwendungen zurückzuführende Probleme mit Anwendungen bekommt, möge diese Problem bitte zum Nutzen aller in diesem Thread beschreiben.

Alles Gute

Malty

 

Hi Malty,

Parallels Desktop (5162-Deutsch) reagiert empfindlich auf die Code-Signatur.
Es kommt eine Fehlermeldung und die VM-startet nicht.

Wenn man das Image neu drüber installiert und dann nicht neu startet gibt's eine Kernel-Panic.

Nach Installation und Neustart scheint alles sauber zu laufen. Die an den Leo angepaßte Version steht jedoch kurz vor der Veröffentlichung.

Gruß

Volker

 

Hallo Volker, ja UM HIMMELS WILLEN, das ist ja drastisch. Der Weg, mit Windows zu arbeiten, ist aber auch immer steinig ;-) .

Guter Hinweis, dann brauche ich es erst garnicht probieren, da Du ja das aktuelle Build 5162 hast laufen lassen. Wo hast Du das her?
Auf
http://www.parallels.com/
finde ich nur unter
http://www.parallels.com/de/support/leopard/
die "Leopard"-Support-Seite mit der dringenden Empfehlung, nur das aktuelle Build 5160 unter Leopard laufen zu lassen und den Verweis:
http://www.parallels.com/de/download/desktop/
, wo nur das englische Build 5160 vom 11. September runterzuladen ist.

Es hilft zwar nicht bei unseren Nutzerproblemen, aber nebenbei habe ich gerade in einem anderen Thema darauf hingewiesen, da߅ "Die angesprochenen Inkompatibilitäten von Anwendungen mit Leopard sind wohl nicht dem Systementwickler (hier Apple) anzulasten. Wenn eine Anwendung als kompatibel zu einem System angeboten wird, so sollte sie auch auf diesem von seinen Entwicklern getestet worden sein, dafür war Zeit genug …. Es wundert natürlich schon, wenn man Berichte liest von Inkompatibilitäten solch wichtiger Anwendungen wie der von Adobe. Gerade bei dieser Softwarefirma empfinde ich es als ein wenig arrogant, gerade die treuen Benutzer einer Plattform (Apple) stiefmütterlich zu behandeln, die den rasanten Aufstieg der Firma erst ermöglicht hatten. Aber vielleicht nutzt es: gestern hat der seit sieben Jahren amtierende CEO (chief executive officer, also Chef) von Adobe, Bruce Chizen, sein Amt kurzfristig mit Wirkung zum 1. Dezember niedergelegt (Gründe hierfür wurden nicht genannt)."

Steht zwar nicht unmittelbar im Zusammenhang mit diesem Thread, trotzdem aber dieser Hinweis:

Festplattenreparatur und Wiedereinsatz von Tiger

Als ordentlicher Mensch hatte ich von Leopard aus eine andere interne Festplatte, die den Tiger beherbergt, mittels Festplatten-Dienstprogramm überprüft und kleinere Reparaturen ausführen lassen. Scheinbar war dies Ursache dafür, daß Tiger nicht mehr vollständig hochgefahren ist: Befehlszeilenanzeigen, offenbar Startversuch als root# mit möglicherweise durch System vergebenem falschen Standardkennwort und dann ewig (bis 3/4 Stunde, dann Abbruch) blaue Monitore (Details hierzu auf Anfrage). Hatte dann mehrfach fsck /ny laufen lassen und irgendwann nach x-tem Neustart lief alles wieder einwandfrei mit Tiger. Bemerkenswerterweise wurde ein vorangegangener Versuch, mit der Tiger-DVD und dessen System zu starten vom System mit der Meldung verweigert, daß Tiger auf diesem Computer nicht installiert werden könne: Es ist ein aktueller G5 Intel Quad Core!¿!

Dir und Allen alles Gute

Malty

 

Hallo,

die 10.5.1-Aktualisierung wirkt sich auch auf unsere Thematik aus. Hier zwei Internetverweise dazu:

Info bei Apple “Informationen über den Sicherheitsinhalt des Mac OS X 10.5.1 Updates (Client und Server)“:
http://docs.info.apple.com/article.html?artnum=307004-de

Info bei heise "Apple bessert Löcher in der Leopard-Firewall aus" (die glauben anscheinend, die einzigen gewesen zu sein, die Kritik an den Firewall-Einstellungen zu vermelden hatten):
http://www.heise.de/newsticker/meldung/99078

konnte die Artikel noch nicht durcharbeiten, aber vielleicht hat von Euch jemand Zeit.

Hat jemand schon Erfahrungen mit den Veränderungen gemacht?

Gruß Malty

 

Hi,

ich habe bei mir nun folgende Einstellungen am laufen:

A. im Internen Netz (hinter Router, Proxy, Firewall):

Zugriffe auf bestimmte Dienste und Programme festlegen

B. Unterwegs:

dito + Tarnmodus (weitere Optionen)

Das Problem des Heise-Artikels, daß man mit "nc -l port" trotzdem Dienste erreichen kann, konnte ich im Tarnmodus nicht nachvollziehen.

Vielleicht kann jemand dies noch mal checken.

Wie gesagt, ich bin kein Sicherheits-Experte, habe jedoch mit den auf Linux üblichen Testtools keine Lücken entdecken können.

Werde dies von einem Externen verifizieren lassen, wenn ich einen der Server auf Leo-Server migriere.

Soweit ich das beurteilen kann würde ich obige Einstellungen empfehlen.

Gruß

Volker