Haupt Software Schließen Sie die Häfen
Software

Schließen Sie die Häfen

Wie manTablets 20. März 2008 02:47 PDT

Es gibt zwei Denkrichtungen, wenn es um die in OS X integrierte Software-Firewall geht.

Eine Schule sagt, dass es nicht notwendig ist. Firewalls verhindern, dass nicht genehmigte Verbindungen Ports auf der Netzwerkschnittstelle eines Computers öffnen. (Ports sind die Art und Weise, wie ein Softwaredienst mit einem Netzwerk kommuniziert. Sie können sich einen Port wie ein Fenster in einer Wand vorstellen; einige Ports werden absichtlich offen gelassen, um ein- und ausgehenden Datenverkehr zuzulassen.) Aber standardmäßig tut OS X dies nicht lasse viele Häfen offen. Im Gegensatz dazu werden die meisten Windows-Versionen mit einer Reihe offener Ports ausgeliefert, was ein Grund dafür ist, dass das Betriebssystem ein reiferes Ziel für böswillige Hacker ist. Und obwohl Leopard mehr Ports offen lässt als frühere Versionen von Mac OS X, sind bisher keine Angriffe auf diese Standarddienste bekannt.

So verstecken Sie geteilte Alben auf dem iPhone

Die andere Schule (zu der ich gehöre) sagt, das beste Sicherheitsmantra sei, niemals davon auszugehen. Wenn Sie Programme auf Ihrem System installieren und verwenden, öffnen Sie häufig Ports, ohne es zu merken. Und es besteht immer die Möglichkeit, dass ein Riss in der Rüstung von OS X zu einer Welle neuer Exploits führt. Aus diesem Grund empfehle ich allen Mac-Benutzern, die integrierte Firewall von OS X zu aktivieren.

Das Problem ist, dass OS X zwar schon seit langem grundlegende Firewall-Software enthält, Leopard jedoch einige bedeutende Änderungen vorgenommen hat, die viele Leopard-Benutzer verwirrt haben, wie sie ihre Macs schützen können. Aber obwohl sich die Firewall-Oberfläche in Mac OS X 10.5 tatsächlich von der in früheren Versionen des Betriebssystems unterscheidet, ist sie immer noch relativ einfach zu bedienen, insbesondere seit der Veröffentlichung des 10.5.1-Updates.

Was gibt's Neues

In früheren Editionen von OS X haben Sie die Firewall im Einstellungsbereich „Freigabe“ konfiguriert. In Leopard tun Sie dies im Sicherheitsbereich.

Das ist nicht die einzige Änderung. Anstelle der Start/Stop-Schaltfläche in diesen früheren Versionen bot Ihnen die Firewall in der ersten Version von Leopard drei Optionen: Alle eingehenden Verbindungen zulassen, Alle eingehenden Verbindungen blockieren und Zugriff für bestimmte Dienste und Anwendungen festlegen.

Diese Optionen haben viele Benutzer verwirrt. Zum einen war die Terminologie vage. Außerdem ließ die Option Alle eingehenden Verbindungen blockieren tatsächlich eine Reihe von Ports offen, einschließlich aller Dienste, die als Root-Benutzer ausgeführt wurden. keiner dieser offenen Dienste wurde in der Benutzeroberfläche angezeigt.

Die Firewall zerstörte auch einige Programme wie Skype, die ihren internen Code ändern, wenn sie ausgeführt werden. Der Grund dafür ist, dass die Firewall für jedes Programm, das versucht, über die Netzwerkschnittstelle zu kommunizieren, eine digitale Signatur erstellt. Diese Signatur ermöglicht es OS X zu wissen, ob der Code des Programms geändert wurde; Wenn ja, wird OS X die Ausführung verweigern. Solche modifizierten Programme hüpften ein paar Mal auf dem Dock und wurden dann heruntergefahren.

OS X 10.5.1 behob diese Fehler, indem es diese zweite Option in Allow Only Essential Services änderte, die wesentlichen Dienste verschärfte und dokumentierte und Benutzer aufforderte, Programme (wie Skype), die sich selbst ändern, zu reaktivieren, anstatt sie einfach zu deaktivieren.

Firewall-Optionen festlegen: Durch Auswahl der Option Zugriff für bestimmte Dienste und Anwendungen festlegen können Sie den eingehenden Netzwerkverkehr steuern.

So senden Sie bestimmte Kontakte direkt an die Voicemail auf dem iPhone 11

Firewall konfigurieren

Die Option 'Alle eingehenden Verbindungen zulassen' von Leopard ist das funktionale Äquivalent der alten Stopp-Schaltfläche: Sie schaltet Ihre Firewall aus. Ich würde diese Einstellung niemandem empfehlen.

Die Option Nur wesentliche Dienste zulassen blockiert alles außer einigen Standardnetzwerkdiensten wie Bonjour. Es verhindert Dateifreigabe, Fernzugriff und andere optionale Dienste. Sie sollten diese Option nur verwenden, wenn Sie wirklich alles blockieren möchten. Ich nutze diese Option, wenn ich mich in potenziell feindlichen Netzwerken befinde, beispielsweise in Hotels oder öffentlichen Hotspots, und mich nicht damit beschäftigen möchte, alle meine Shared Services manuell auszuschalten (siehe Firewalls on the Road).

Die dritte Option, Zugriff für bestimmte Dienste und Anwendungen festlegen, ist diejenige, die ich für den täglichen Gebrauch empfehle. Es ist eigentlich eine neue Art von Firewall für OS X. Es ist das sogenannte an Anwendung Firewall. Frühere Versionen von OS X verwendeten eine Technologie namens Stateful Packet Inspection – eine ausgefallene Art zu sagen, dass die Firewall Ports blockiert hat, die nicht für die Verwendung durch genehmigte Anwendungen offen gehalten wurden. Eine Anwendungs-Firewall wie die in Leopard blockiert den Datenverkehr, der auf bestimmte Anwendungen abzielt, nicht auf bestimmte Ports.

(Leopard enthält immer noch eine Stateful-Packet-Inspection-Firewall namens ipfw, aber standardmäßig ist sie so eingestellt, dass sie den gesamten Datenverkehr durchlässt. Diese Firewall kann so konfiguriert werden, dass sie sicherer ist, aber dies ist nur für fortgeschrittene Benutzer gedacht wissen, wie es geht, sollten Sie es jetzt wahrscheinlich nicht versuchen.)

Auf der Registerkarte Firewall-Konfiguration sollten Sie unter den drei Optionen eine Liste der Netzwerkdienste sehen, die derzeit berechtigt sind, eingehende Verbindungen anzunehmen oder abzulehnen. Wenn Sie Dienste im Einstellungsbereich „Freigabe“ aktiviert haben, sollten sie hier angezeigt werden; Sie können sie nicht von der Firewall aus deaktivieren.

Nachdem Sie die Option Zugriff für bestimmte Dienste und Anwendungen festlegen ausgewählt haben, fragt Leopard jedes Mal, wenn Sie ein Programm starten, das Netzwerk verwendet, ob Sie eingehende Verbindungen zulassen oder blockieren möchten. Wenn Sie Zulassen auswählen, wird dieses Programm dieser Liste hinzugefügt und digital signiert (sofern dies noch nicht geschehen ist), damit Mac OS X erkennen kann, ob es manipuliert wurde. Sie können eine Anwendung in dieser Liste auswählen und eingehende Verbindungen über ein Dropdown-Menü zulassen oder verweigern.

Die Leopard-Firewall verhindert nicht, dass Programme ausgehende Verbindungen herstellen. So kann es beispielsweise in Ordnung sein, iTunes so einzustellen, dass Musik von Ihrem Laptop geteilt wird, wenn Sie zu Hause sind. Wenn Sie dann jedoch in ein öffentliches Netzwerk wechseln, können Sie den Zugriff auf Ihre iTunes-Mediathek nur blockieren, indem Sie die Freigabe in den iTunes-Einstellungen deaktivieren (oder die Firewall auf Allow Only Essential Services einstellen).

Unabhängig davon, ob Sie Nur wesentliche Dienste zulassen oder Zugriff für bestimmte Dienste und Anwendungen festlegen auswählen, sollten Sie dann auf Erweitert klicken und Stealth-Modus aktivieren auswählen. Dies verbirgt geschlossene Dienste vor jemandem, der Ihren Computer durchsucht, was ein wenig zusätzliche Sicherheit bietet. Es ist, als würde man eine Tür übermauern, anstatt sie nur zu verriegeln.

Stealth-Modus: Das Aktivieren des Stealth-Modus verbirgt Ihren Mac vor jemandem, der Ihren Computer durchsucht.

Die Zukunft der Firewall

Da die Firewall in OS X jetzt anwendungsbasiert ist, gibt es in der Sicherheitsgemeinschaft einige Bedenken, dass der Mac dadurch anfällig für Angriffe auf niedriger Ebene wird. Apple muss dies möglicherweise in zukünftigen Sicherheitsupdates beheben oder eine Art grafisches Interface-Tool hinzufügen, mit dem Sie ipfw konfigurieren können.

Es wäre auch gut, die Anwendungsfirewall so zu konfigurieren, dass ausgehende Verbindungen blockiert werden. Die rtsp-Sicherheitslücke in QuickTime ist uns bereits bekannt: Sie würde es einem Angreifer theoretisch ermöglichen, einen QuickTime-Link in eine E-Mail oder Webseite einzubetten, die Sie zu einer feindlichen Site führt, um Ihren Computer auszunutzen. Mit dem QuickTime 7.3.1-Update hat Apple dieses Loch geschlossen. Aber ich denke, Apple muss uns eine Art Tool zur Verfügung stellen, um ausgehende Verbindungen über alle Anwendungen hinweg zu blockieren.

Firewalls auf der Straße

Während es schön ist, die OS X-Firewall zu Hause laufen zu lassen und Ihren Mac sicher hinter einem Router zu haben, ist die Aktivierung absolut obligatorisch, wenn Sie Ihren Mac unterwegs mitnehmen.

Selbst der einfachste Heim- oder Bürorouter, wie der AirPort Extreme, verwendet Network Address Translation (NAT), um Ihre Computer vor dem direkten Zugriff über das Internet zu verbergen. NAT ermöglicht einem einzigen Router, Hunderte von einzelnen Computern über eine öffentliche Adresse mit dem Internet zu verbinden. Ein Nebenvorteil eines NAT-Routers besteht darin, dass er als grundlegende, aber effektive Hardware-Firewall dient.

Kann ich mein Apple-ID-Guthaben für Apple Pay verwenden?

Aber es kann Sie nicht schützen, wenn Sie sich auf den Weg machen und es zurücklassen, insbesondere wenn Sie die Firewall Ihres Macs lose konfiguriert haben. Auf einer kürzlichen Geschäftsreise habe ich mich zum Beispiel mit dem Netzwerk meines Hotels verbunden und war überrascht, drei geteilte Macs in meiner Finder-Seitenleiste zu sehen. in iTunes habe ich zwei gemeinsam genutzte Bibliotheken gesehen. Alle wurden unter den Namen ihrer Besitzer aufgeführt. Eine nicht gesetzestreue Person hätte versuchen können, sich mit diesen Systemen zu verbinden, um Angriffstools auszuführen oder sich an schwachen Passwörtern vorbeizuwinden.

Aus diesem Grund sollten Sie auf Reisen Ihre Leopard-Firewall auf Allow Only Essential Services umstellen und den Stealth-Modus aktivieren. So vermeiden Sie es, sich Angriffen auszusetzen. Wenn Sie nach Hause zurückkehren, können Sie zurück zu Zugriff für bestimmte Dienste und Anwendungen einrichten wechseln, und die Firewall stellt Ihre ursprünglichen Einstellungen wieder her.

[ Rich Mogull ist ein unabhängiger Sicherheitsberater, der über Sicherheitsthemen bloggt unter Securosis.com . Er ist auch ein beitragender Redakteur bei TidBits. ]