Artikelformat

Leopard 10.5 Firewall: Sicherheitslücken und Probleme?

Wie viele Sachen im neuen Release wurde auch das Firewall-Konzept von Mac OS X (fast) komplett neugestrickt. Es gab hier schon sehr viele kontroverse Artikel zum Thema, unter anderen bei Heise-Security. Ich persönlich bin über die aktuelle Lösung auch nicht unbedingt glücklich und zufrieden. Erstmal finde ich es natürlich gut, wenn Technologien sehr einfach zugänglich gemacht werden. Der Normaluser, der ohne technisches Hintergrundwissen einfach mit dem Rechner arbeiten will, soll einfach mit dem System und schwierigen Themen wie zum Beispiel Firewall umgehen können, damit er sich auf die Sicherheit des Betriebssystem verlassen kann. Auch wenn ich es früher nicht immer verstehen konnte, daß User sich nicht mit solchen Dingen näher beschäftigen wollen, musste ich mir doch selber eingestehen, daß es eben so ist und man das auch akzeptieren muss. Ich bin natürlich immer noch der Meinung, daß ein Rechner nur so sicher ist, wie sein Benutzer ihn behandelt und benutzt, dazu kann und muss natürlich das benutzte Betriebssystem seinen Beitrag leisten und den User dahingehend unterstützen und ihm Technolgien zum Schutz seines Rechner einfach anbieten und zugänglich machen. Das genau hat Apple mit ihrem neuen Mac OS X 10.5 versucht. So weit so gut.

Wie sieht nun die neue Unterstützung aus?

Die Firewalleinstellungen in Leopard findet man jetzt nicht mehr in den Systemeinstellungen unter dem Punkt Sharing, sondern unter Sicherheit. Es ist in meinen Augen erst mal eine gute Sache, die Firewall von den Diensten zu trennen. Nur hängen sie aber in 10.5 eigentlich noch weiter zusammen, als es noch in 10.4 gewesen sind.

Bild 460
Die Firewalleinstellungen sind wirklich extrem einfach gehalten und bieten dem User kaum Möglichkeiten komplexere Einstellungen vorzunehmen. Man hat die Möglichkeit „Alle eingehenden Verbindungenzu erlauben oder „Alle eingehenden Verbindungen zu verbieten“ oder den Zugriff für bestimmte Dienste und Programme festzulegen. Ich denke, diese Einstellungen sollen sehr verständlich sein. Der Heise Artikel wirft nun Apple vor, dass wenn man alle eingehenden Verbindungen blockiert, dass dann auch alle Dienste nicht mehr erreichbar sein sollten, was aber leider nicht der Fall ist. Auch wenn viele Appleanhänger das anders sehen, ist es auf den ersten Blick wirklich nicht sehr verständlich, was Apple da gemacht hat. So zum Beispiel mac-tv.de in einem Beitrag zu diesem Thema. Markiert man nun den Punkt „Alle eingehenden Verbindungen blockieren“, dann heisst das für Mac OS X nicht unbedingt, das keine Verbindungen zu dem Rechner mehr möglich sind.

Bild 461
Schaltet man nämlich nun unter „Sharing“ einen Dienst an, öffnet Mac OS X automatisch die zugehörigen Ports bzw. registriert die Anwendungen für den Zugriff von aussen, lässt aber unter Firewalleinstellung, die Option „alle Verbindungen werden blockiert“ an, was mir einfach einen falschen Sachverhalt suggeriert. Und in diesem Punkt muss ich dem Heise-Autor leider zustimmen. Das ist so in meinen Augen nicht ok. Zumindestens sollte nach Aktivierung eines Dienstes, die Option „Zugriff auf bestimmte Dienste und Programme“ aktiviert sein und der geöffnete Dienst in diese Liste aufgelistet werden. Ich finde die Anordnung der Dienste/Programme Liste unglücklich gewählt. Schaltet man zum Beispiel siehe Screenshots Websharing an, wird Websharing auch in der Liste aufgeführt, aber der Punkt „Alle eingehenden Verbindungen blockieren“ bleibt aktiviert. Genau dieser Punkt ist wirklich missverständlich und wurde auch vom Heise-Author falsch verstanden. Aber ehrlich gesagt, würden doch auch der Normaluser dieses Verhalten dann falsch verstehen oder nicht?
Richtigerweise erklärt das ja auch Apple in der Hilfe: „Sharing-Dienste für die gemeinsame Nutzung von Computern werden in der Firewall aktiviert, wenn sie in der Systemeinstellung „Sharing“ aktiviert sind. Wenn Sie Verbindungen mit einem dieser Dienste unterbinden wollen, müssen Sie den Dienst in der Systemeinstellung „Sharing“ deaktivieren.“ User und Heise-Authoren lesen aber diese Hilfen nicht ;) Unterstelle ich einfach mal, den hier wird genau der Sachverhalt so dargestellt, wie er auch ist.
Was ist nun aber, wenn ich einen Dienst nur lokal laufen lassen will, um so zum Beispiel aus einer virtuellen Maschine dadrauf zuzugreifen? Das aber geht so erstmal nicht. Entweder der Dienst ist für alle offen oder für niemanden. Und das ist auch mein grösster Kritikpunkt an Apple. Wieso werden die Möglichkeiten so beschränkt? Warum kann ich nicht die Firewallausnahmen per Hand wieder rausnehmen?

Bild 463Bild 464Bild 462-1
In den Firewalleinstellungen kann man dann noch unter Optionen das Protokollieren aktivieren und einen sogenannten „Tarn-Modus“ anschalten, der einem vor böswilligen Portscannern schützen soll. Mehr Möglichkeiten hat der User dann aber nicht.

Ein anderer Kritikpunkt ist die „default-mässige“ Deaktivierung der Firewall. Ich vermute stark, dass sich Apple erstmal zu dieser Lösung durchgerungen hat, da es bei der Standardinstallation keine Dienst aktiviert hat und es durch die Signierung von Programmen durch die Firewall noch zu einigen Problemen von Drittherstellern kommt (siehe weiter im Text). Ich hoffe, daß sie etwas konsequenter werden im Laufe der neuen Patchversionen von 10.5, aber ich glaube, auch unter 10.4 war die Firewall immer deaktiviert und man musste sie erst einschalten. Über diesen Punkt gibt es auch sehr unterschiedliche Meinungen: Sollte man den Nutzer standardmässig schützen oder ihm die Freiheit geben, es selber zu konfigurieren? Ich vermute ganz stark, daß ein Normalnutzer seine Firewall nicht freiwillig einschalten wird.

Probleme mit der Signierung von Programmen.

Ein weiteres neues Konzept ist, dass man nur noch signierte Programme durch die Firewall lässt. Es soll also sichergestellt werden, daß Programme, welche ich installiert habe, auch unverändert sind, wenn diese nach draussen kommunizieren. Ein gutes Konzept. Nur überprüfen einige Programme wie zum Beispiel Skype die Integrität ihres Codes auch selber und starten nicht, wenn dieser angepasst wurde. Hier liegt es aber jetzt an den Herstellern der Drittsoftware, diese Eigenschaft von Leopard an ihre Software anzupassen. Bei mir funktionierte zum Beispiel der Cisco VPN Client nicht mehr, nach dem man die Firewall aktiviert hatte. Auch hilft bis jetzt nur eine Neuinstallation des Client. Das selbe gilt zum Beispiel auch für Skype. Eine Deaktivierung der Firewall hilft da nicht weiter.

Kopf in den Sand stecken?

Natürlich nicht. Mac OS X liefert noch zusätzlich die gleiche Firewall mit, die sie auch schon in Tiger 10.4 verwendet hatten: ipfw. Mit dieser kann der erfahrende Anwender komplexere Regeln erstellen. Wer gerne zu der ipfw Firewall eine GUI hätte, kann zu Waterroff greifen, welches auch schon für 10.5 angepasst wurde und gut funktioniert. Wer eingehenden Verkehr gerne überwacht und immer über alle Gegebenheiten seines Systems informiert werden will, sollte zu der sehr guten Shareware LittleSnitch greifen.

Bild 465

Links
Heise Artikel
http://www.mac-tv.de/Detail_Artikel_jump.lasso?JumpID=33198
http://www.hanynet.com/waterroof/
http://de.wikipedia.org/wiki/Ipfw
http://www.obdev.at/products/littlesnitch/index-de.html

Autor: Oliver

Ich bin Oliver und habe den aptgetupdateDE Blog im Juli 2007 aus der Taufe gehoben. Man findet mich auch auf Twitter.

4 Kommentare

  1. Pingback: apfelnase » Blog Archiv » Was im Web sonst noch geschah … (3)