Firewall ein oder aus?

[Kernelpanik]

Hallo Loitz,
ich habe gehört, dass hinter einem Router mit NAT die Firewall nicht nötig ist. Ist das wirklich so? Kann man sie arglos abschalten? Wenn es wirklich überflüssig ist werde ich sie der Performance halber abschalten.

 

[stk]

Moin,

üblicherweise haben die DSL-Router einen eigenen Paketfilter (vulgo: Firewall). Wenn Du dann noch im Router keinen DMZ-Rechner, keine Portforwards oder Port-Triggers eingestellt hast und Du den restlichen Mitgliedern deines internen Netzes vertraust, spricht nichts dagegen die Mac eigene FW abzuschalten.

Gruß Stefan

 

[apple-byte]

Wie bekomme ich das denn heraus?

Ich hab keine Ahnung von Routern.
Habe hier einen Arcor DSL LAN/WLAN Router von Zyxel (Prestige 660 HW-67)

 

[Kernelpanik]

Zyxel 650 Router. Weiss nicht ob der einen Paketfilter eingebaut hat, ein paar Portforwards hab ich gesetzt. DMZ Rechner weiss ich nich was das ist. LAN bin ich der Einzige. Soll ich Firewall einschalten?

 

[wolfsbein]

Schalt Sie ein. Wegen der Performance brauchst du dir keine Sorgen machen. Und wenn du mal in einem fremden Netz bist vergisst du leicht sie einzuschalten.

 

[pepi]

Daß man überhautp auf die Idee kommen kann diese Frage zu stellen macht mir Angst. Bitte dies nicht persönlich zu nehmen, ich bin sowohl beruflich als auch privat paranoid, weil ich weis wie gut oder schlecht die meisten Firewalls auf solchen kleinen (oder auch großen) Routern arbeiten. Jetzt mal von Sicherheitslücken abgesehen.

Auf alle Fälle unbedingt den Firewall einschalten! Immer!

Die meisten Angriffe in einem Netzwerk kommen von innerhalb dieses Netzwerkes! Wer ein WLAN betreibt, der muß damit rechnen, daß es nicht komplett sicher ist. Ein potentieller Eindringling wird daher Deinen Firewall am Router lächelnd liegen lassen, weil er ja direkt dahinter ins Netz einsteigt. Und dann ist da ein Mac der... keinen Firewall hat... Vielleicht ist ja auch mal ein Freund mit einem verseuchten PC zu Gast?


Das Argument von wolfsbein möchte ich an dieser Stelle ausdrücklich unterstützen! Wenn man unterwegs ist, vergißt man mit Sicherheit sie einzuschalten, daher lieber gleich eingeschaltet lassen!
Gruß Pepi

 

[eXiNFeRiS]

da verweise ich doch mal freundlich auf die Seite einer Fire-Wall-Koriphäe aus dem MU-Forum

http://www.maceis.chaos-net.de/firewall/ipfw-1.html

Ich persönlich nutze keine Firewall, weder auf meiner Windows-Kiste noch auf meinem Mac und das mittlerweile schon seit Anbeginn meiner PC-Zeiten. Ich wurde in der Zeit weder gehackt noch von irgendwelchen Viren überflutet (auf dem PC war immer ein aktueller Virenscanner). Ich muß aber auch sagen das ich keine Person des öffentlichen Lebens bin die sensible Daten auf heimischen Rechnern auslagert und mich selten bis gar nicht in andere Netzwerke einklinke

 

[pepi]

[...]Ich persönlich nutze keine Firewall, weder auf meiner Windows-Kiste noch auf meinem Mac und das mittlerweile schon seit Anbeginn meiner PC-Zeiten. Ich wurde in der Zeit weder gehackt noch von irgendwelchen Viren überflutet (auf dem PC war immer ein aktueller Virenscanner). Ich muß aber auch sagen das ich keine Person des öffentlichen Lebens bin[...]

Dann hast Du an Deinem PC auch keinen Netzwerkzugang, oder?
Vielleicht weist Du bloß nicht, daß Dein PC schon seit Jahren in einem Botnet hängt...

Ich persönlich finde es grob-fahrlässig so zu agieren. Allerdings sind Deine Computer nicht in meinem Verantworungsbereich. Es sei Dir selbstverständlich freigestellt zu tun wie es dir behagt. Ich würde dieses vorgehen jedoch niemand anderem Empfehlen.
Gruß Pepi

 

[eXiNFeRiS]

Ich nutze Internetzugang seit den seligen Anfangstagen mit AOL 2.5 und analogem 14.400er Modem gefolgt von ISDN-Einwahl und der gängigen DSL-Karriere von DSL768 bis jetzt hoch zu DSL6000 und das immer ohne Firewall....(bis jetzt sind mir noch keine Bilder von mir und meinen verflossenem im Netz begegnet Zu Anfangszeiten als ich DSL nutze tat ich dies noch mit einem normalen Teledat-Modem der Telekom ohne Router uns sonstigem Schnickschnack. Auch als die hysterische "Wurmphase" in den Medien hochgepuscht wurde blieb mein System (damals immer noch Windows) von dieser und sonstigen "Seuchen" verschont...ohne Firewall auf dem System. Man kann sein System durchaus "sicher" machen (auch mit Boardmitteln) ohne Software-Lösungen die einem eine scheinheilige Sicherheit auf dem eigenen System vorgaukeln. Ich habe schon etliche "User-Systeme" neu aufsetzen müssen auf denen eine oder mehr Software-Firewalls liefen...denn "mehr" schützt ja auch bekanntlich mehr

Fakt ist einfach, das manche Leute meinen sie wären das Maß aller Dinge, und der Hauptangriffspunkt schlechthin wenn böse Hacker Ihnen an die Daten wollen. Das verstehe ich noch ein klein Wenig bei Windows und seinen mehr oder minder großen Lücken im System aber ein Macuser der nur Zuhause, privat seinen Mac einsetzt für Surfen, eMail, Bildbearbeitung und sonstige kleine Aufgaben warum um alles in der Welt sollte dieser eine Firewall-Software einsetzen? Ebenso bin ich einer der "bösen" Jungs die keinen Virenschutz auf dem Mac installiert haben um damit andere Windows-User zu schonen und deren Verantwortung für ein geschütztes System zu übernehmen.

Ein immer wieder gerne aufgeführter Link von mir von der ZIV Münster

http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html

Luftreibungshitze...ein Klassiker

 

[pepi]

[...]Fakt ist einfach, das manche Leute meinen sie wären das Maß aller Dinge, und der Hauptangriffspunkt schlechthin wenn böse Hacker Ihnen an die Daten wollen. Das verstehe ich noch ein klein Wenig bei Windows und seinen mehr oder minder großen Lücken im System aber ein Macuser der nur Zuhause, privat seinen Mac einsetzt für Surfen, eMail, Bildbearbeitung und sonstige kleine Aufgaben warum um alles in der Welt sollte dieser eine Firewall-Software einsetzen?[...]

Fakt ist, daß Du und Deine Daten, ebenso wie die vieler ander User für "die Bösen" vollkommen egal sind. Deine Bandbreite und der Speicherplatz auf Deinen Rechnern ist jedoch ein begehrtes Gut.
Auch machen automatisierte Skript Attacken (nicht nur die von Skript-Kiddies) keinen Unterschied zwischen Rasse, Konfession, Platform oder Privaten oder Geschäftlichen Benutzern. Dort geht es darum einen weiteren Computer in das Botnetz zu integrieren, denn damit läßt sich mit virtuellen Handelsgütern sehr reales Geld erzielen. All das vollkommen ungeachtet der Legalität.

Du läßt Deine Wohnungstüre auch nicht unverschlossen und sperrangelweit offen, egal ob Du privat daheim oder in der Firma bist, oder gerade mit Deiner Freundin auf ein Eis gegangen bist.

Ich spreche hier auch nicht davon irgendwelche sog. "Personal Firewalls" von deren Konfiguration jemand der das OSI Referenz Modell im Schlaf rückwärts aufsagt nochwas lernen kann, sondern einfach vom systemeigenen Firewall. (ipfw) Wer über bessere Kenntnisse Verfügt kann sich auch besser schützen. Deswegen sollte es aber auch die Aufgabe derer sein anderen die weniger versiert sind einen sicheren Pfad aufzuzeichnen den sie auch beschreiten können. Den Firewall am Mac aufzudrehen schadet keinem, kann aber vor Schaden bewahren.

Gruß Pepi
(Semi-OT: LittleSnitch ist am Mac ein gutes Beispiel. Wer damit umgehen kann und weis welche Ports erlaubt und verboten werden sollten, kann damit seine eigene Sicherheit erhöhen. Wer diese Kenntnis nicht besitzt kann sich damit ein großes Loch reissen, da er sich in Sicherheit wiegt ohne jedoch genau darüber bescheid zu wissen.)

 

[Herr Sin]

@pepi: Bezüglich LittleSnitch: Dann wäre es doch eine super Geste von dir kurz zu erläutern, welche Ports auf gar keinen Fall geöffnet sein dürfen, bzw. welchen man evlt. in LittleSnitch Durchlass gewähren darf.

 

[kingoftf]

Bist Du bei Telefonica?

Zumindest der Router kommt mri da doch so bekannt vor, hier im Büro haben wir den auch, weil Standard-Router bei Telefonica.

Tipp mal in Dein Safari oder Firefox oben ins Adressfeld 192.168.0.1 ein, dann kommt die Passwortabfrage des Routers, ist werksseitig auf admin 1234 eingestellt, falls ihr das noch nicht geändert habt. Dann siehst Du das folgende Fenster, dort auf "advanced Setup" klicken, dort kommt dann dann abgebildete Fenster, wenn da nix drinsteht, dann hast Du auch keine Ports offen.

Ich habe noch nie eine Firewall benutzt und die von Mac ist demzufolge auch aus...

DMZ hat der 650er nicht, aber dennoch sollte nix passieren, ich habe zu Hause auch einige Ports am Sagem-Modem offen und nix passiert und das seit Ewigkeiten......

 

[eXiNFeRiS]

Dann wurde ich wohl zufällig über 10 Jahre vor Bandbreiten- bzw. Speicherplatzdieben verschont, kann natürlich auch der Fall sein

Jetzt wüßte ich noch gerne was die "Software-Firewall" im Mac-OS derer im Windows SP2 voraus hat?

Nichtsdestotrotz würde es auch mich brennend interessieren welche Prozesse, Dienste, Ports was auch immer in OSX ohne weiteres gesperrt bzw. abgeschaltet werden können. Unter XP wußte ich welche Dienste ich laufen lassen konnte und welche sperren und bin damit immer gut gefahren.

 

[Kernelpanik]

Firewall schützt Dich kaum vor Viren oder Trojanern. Ich glaube die wichtigste Aufgabe der Firewall ist es Deinen Comp vor Datenklau zu schützen. Also Jungs, die Ihr da gross rumposaunt! Wie wollt Ihr denn so genau wissen, dass euch noch keine Daten vom Comp runtergesaugt worden sind?

 

[hibachi]

Mensche Leude,
was is denn hier los? Natuerlich schuetzt ein Firewall nicht vor Viren.. das sind doch auch zwei dinge, die garnicht miteinander zu tun haben. Ein Firewall soll einfach verhindern, dass bestimmte personen an die eigenen Daten rankommen.
Ich weiß noch, wie das war als ich noch unter Windows gearbeitet hab. Da lief die Sygate Personal Firewall (uebrigens die beste kostenlose Windows Firewall die es gibt bzw. gab) immer im hintergrund und man konnte im Log Fenster immer schoen beobachten, was die Firewall so treibt. Wenn ich mit Bittorrent oder anderen PSP Netzwerken verbunden war kamen alle paar minuten Port scans (minor & major) und sonstige schnueffeleien.
dh. wer seinen internet-zugang zu 1% nutzt wird wahrscheinlich auch ohne aktive firewall verschont bleiben, wer aber viel surft und auch mal neugierig ist und gerne mal alles anklickt, den schuetzt die firewall, indem sie die daten schuetzt.
natuerlich kann niemand sagen, wieviele angriffe nun an der firewall vorbeigeschlittert sind und wieviele daten trotz firewall ausspioniert wurden, aber ich denke ein bestimmter prozentsatz von angriffen wird von der firewall erstmal blockiert (vorausgesetzt sie ist gut konfiguriert).
bei mir funktioniert das zusammenspiel router+firewall seit einiges jahren sehr gut.

vor viren, trojanern und sonstigem gewurm schuetzt man sich, indem man nicht jeden email anhang in Microsoft Outlook oeffnet..

ausserdem: vor welchem wurm will sich hier welcher Mac OS X User schuetzen?

das ist meine sicht der dinge und sie hat sich die letzten jahre bewaehrt..
schoene gruesse,
hibachii

 

[Schomo]

Zyxel 650 Router. Weiss nicht ob der einen Paketfilter eingebaut hat, ein paar Portforwards hab ich gesetzt. DMZ Rechner weiss ich nich was das ist. LAN bin ich der Einzige. Soll ich Firewall einschalten?

http://de.wikipedia.org/wiki/Demilitarized_Zone

Gruß Schomo

 

[pepi]

Bezüglich LittleSnitch: Dann wäre es doch eine super Geste von dir kurz zu erläutern, welche Ports auf gar keinen Fall geöffnet sein dürfen, bzw. welchen man evlt. in LittleSnitch Durchlass gewähren darf.

Herr Sin,
ich helfe gerne bei konkreten Fragen mit LittleSnitch. Leider kann man das nicht pauschal beantworten, da dies von sehr vielen Faktoren abhängt. LittleSnitch filtert usgehenden Netzwerkverkehr abhängig von Applikationen. Was für den einen Ok ist, kann für den anderen unpassend sein. Kommt halt sehr auf die Anwendung an was man damit erreichen möchte.

Firewall schützt Dich kaum vor Viren oder Trojanern. Ich glaube die wichtigste Aufgabe der Firewall ist es Deinen Comp vor Datenklau zu schützen.

Einen Firewall der vor Trojanern schützt hätte ich gerne. Da wüßte ich einige Anwender denen man sowas installieren sollte.
Die Aufgabe eines Firewalls ist es den Eingehenden (und auch den ausgehenden) Netzwerkverkehr zu regeln, bzw. zu limitieren. Es soll also gesteuert werden, welche Verbindungen (von wo, nach wo, welcher Art) zulässig sind und welche nicht.
Wenn man damit eine Verbindung zu einem Fileserver unterbindet, dann hilft das (hoffentlich) auch vor Datenklau, ist aber mehr Wirkung denn Ursache.

Jetzt wüßte ich noch gerne was die "Software-Firewall" im Mac-OS derer im Windows SP2 voraus hat?

Nichtsdestotrotz würde es auch mich brennend interessieren welche Prozesse, Dienste, Ports was auch immer in OSX ohne weiteres gesperrt bzw. abgeschaltet werden können. Unter XP wußte ich welche Dienste ich laufen lassen konnte und welche sperren und bin damit immer gut gefahren.

Was der Unterschied ist sag' ich Dir nicht, Du drehst ihn ja doch nicht auf. Im wesentlichen ist beides ein Packetfilter. Der Netzwerk Stack von Mac OS X ist allerdings (nachdem von BSD herrührend) deutlich ausgereifter und damit sicherer. Ein guter IP Stack benötigt viele Jahre Entwicklung um zu reifen, deswegen freuen sich auch schon alle auf Vista.

Tja, welcher Windows User weis schon was er alles auf- oder abdrehen kann oder darf, oder sollte? Wie sieht es mit den Standardeinstellungen aus? Funktioniert eh alles, oder? Super, weil alles aufgedreht ist.
Am Mac sind grundsätzlich mal alle Dienste abgeschaltet. Leider ist auch hier bisweilen der Firewall in der Standardeinstellung nicht aktiviert. Zum Glück ist das nur einen Klick entfernt.

Um nun einem User, dem ich es nie beibringen könnte welche Prozesse wichtig sind, erlaubt sind etc. zu helfen, ist es für den durchaus verständlich und durchführbar den Firewall aufzudrehen. Du bist selbst momentan nicht in der Lage diese Dinge zu entscheiden und es wird Dich einige Zeit und Arbeit kosten dies zu erlernen. Leider kann man mit schwarz/weiß gemaltem Dienst an und Dienst aus, sehr viele Sachen nicht abbilden. zB. Administrativer Zugriff per SSH auf einen Server der nur von bestimmten Arbeitsplätzen oder aus bestimmten Netzwerkbereichen aus überhaupt erreichbar sein soll. Das kann ich zB mit einem Firewall gut regelen. (Gebe zu, daß es mit SSH auch anders geht, aber das trifft nicht auf alle Dienste zu.)
Gibt es konkrete Prozesse die Dich interessieren? Ich helfe gerne Fragen zu beantworten. (Evt. wäre dafür ein eigener Thread angebracht)
Gruß Pepi

 

[Jimbo Jones]

Firewall on.

 

[eXiNFeRiS]

Also auf meinem OS laufen insgesamt 42 Prozesse von denen aber nur 8 an der Zahl zu meinen "User"-Prozessen gehören, alles restliche ist "root". Ich könnte natürlich jetzt alles mal nacheinander deaktivieren uns sehen wie sich das System verhält aber das wär wohl ein wenig Zeitaufwendig. Gibt es keine Liste der Mac-spezifischen Prozesse (Dienste)? Sowas gibt es doch für Windows auch auf etlichen Seiten...Welcher Dienst (Prozess) ist wofür zuständig und brauch man ihn überhaupt? Du bist dran, ich bin ja lernwillig

Dabei geht es mir weniger um "wie schütze ich mich oder andere" sondern eher darum "von welchen (unnötigen) Prozessen kann ich mein System befreien damit es noch flotter läuft und besser atmen kann".

Was LittleSnitch angeht macht das Programm vor allem Sinn für ängstliche "Achtung Apple telefoniert nach Hause-Anhänger", Inhaber von gecrackter Software auf dem System die eine Abschaltung dergleichen durch "nach Hause telefonieren" vermeiden wollen und eine selte Spezies derjeniger die ein Software-Update-Check verhindern wollen wenn eine Soft dies zwangsweise macht und sich die Option nicht abschalten läßt. Ansonsten viel mir nichts ein was ich hindern sollte nach draußen zu gelangen (Es sei denn du kennst etwas bösartiges im Mac-OS was man unbedingtermaßen von Hause aus blockieren sollte). Wenn ich nur mal als Beispiel den FTP-Server nutze ist er so eingestellt das ich nur die User zulasse die ich möchte und auch nur die Daten nach außen gelangen denen ich es erlaube.

 

[wolfsbein]

... Ansonsten viel mir nichts ein was ich hindern sollte nach draußen zu gelangen (Es sei denn du kennst etwas bösartiges im Mac-OS was man unbedingtermaßen von Hause aus blockieren sollte). ...

Die Firewall schuetzt von aussen! Oder beziehst du dich hier nur auf das Tool Littlesnitch?
@pepi: Den Witz mit dem Vista Netzwerkstack musst du erklaeren, das ist bestimmt nicht allen klar .