MacOSX 10.5: Die offene Firewall
Unter MacOSX ist man nicht bei Windows und daher braucht man (noch) keinen Virenscanner und die Firewall, nun, ein nettes Schmuckstück IPFW von FreeBSD im System zu haben, mehr allerdings auch nicht. Denn, diese Firewall macht nicht wirklich das was sie machen sollte. Heise Security berichtete schon darüber.
Nun denn, wollen wir auch mal schnell mit nmap die Firewall testen.
1. MacOSX 10.5 Firewall - Zugriff auf bestimmte Dienste und Programme festlegen -> SSH
#ipfw list#nmap -sU 10.10.11.23065535 allow ip from any to any
#nmap -sT 10.10.11.230Interesting ports on cojote.suedfac.com (10.10.11.230):Not shown: 1484 closed portsPORT STATE SERVICE123/udp open|filtered ntp631/udp open|filtered unknown1900/udp open|filtered UPnP5353/udp open|filtered zeroconf
Interesting ports on cojote.suedfac.com (10.10.11.230):Not shown: 1695 closed portsPORT STATE SERVICE22/tcp open ssh9090/tcp open zeus-admin
Sollte da nicht nur der Port 22 frei sein? Auch lässt sich der NTPD abfragen. MacOSX scheint dabei die Ports einfach freizuschalten die ein laufendes Programm nutzen möchte. Eine schöne Variante für Trojaner. Man fühlt sich sicher, und der Trojaner kann einfach die Firewall nach belieben öffnen...
2. MacOSX 10.5 Firewall - Alle eingehenden Verbindungen blockieren
#ipfw list
65535 allow ip from any to any
#nmap -sU 10.10.11.230
Interesting ports on cojote.suedfac.com (10.10.11.230):Not shown: 1484 closed portsPORT STATE SERVICE123/udp open|filtered ntp631/udp open|filtered unknown1900/udp open|filtered UPnP5353/udp open|filtered zeroconf
#nmap -sT 10.10.11.230
Interesting ports on cojote.suedfac.com (10.10.11.230):Not shown: 1695 closed portsPORT STATE SERVICE22/tcp filtered ssh9090/tcp filtered zeus-admin
Ok, nun scheinen alle Verbindungen blockiert zu werden. Wirklich? NTPD lässt sich immer noch abfragen:
3. MacOSX 10.5 Firewall - ipfw selbst gesetztntpdate[1864]: adjust time server 10.10.11.230 offset 0.249411 sec
#ipfw add 1 deny log tcp from any to any
#ipfw add 2 deny log udp from any to any
#ipfw list
00001 deny log tcp from any to any00002 deny log udp from any to any65535 allow ip from any to any
#nmap -sU 10.10.11.230
All 1488 scanned ports on cojote.suedfac.com (10.10.11.230) are open|filtered
#nmap -sT 10.10.11.230
All 1697 scanned ports on cojote.suedfac.com (10.10.11.230) are filtered
Ahh, ok, so will ich es haben. Nun geht auch der Zugriff auf den NTPD nicht mehr.
Die Frage ist nun, wo ist die Konfigurationsdatei von IPFW? Warum wird mir, egal was ich in der Firewall einstelle, immer nur eine Regel mit "ipfw list" angezeigt? Die Ausnahme ist wenn man in der MacOSX FW ICMP verbietet, dann wird eine weitere Regel hinzugefügt.
Kann es sein das IPFW von MacOSX irgendwie umgangen wird? Oder haben da die Entwickler einfach IPFW (fast) vergessen?
Wer also eine sichere FW unter MacOSX 10.5 will, der muss zum Terminal greifen und seine Regeln selbst schreiben. Mit einem entsprechenden Automator Script können diese bei jeder Anmeldung geladen werden, oder je nach Umgebung entladen und dafür andere geladen. Es hat also einen Vorteil, der gemeine Macuser muss sich auch mal mit der Firewall beschäftigen...
Wie gestern schon geschrieben, scheint die Firewall (eigentlich der Paketfilter) etwas buggy zu sein. Für die einen ist es ein Bug, anscheinend gibt es das Problem auch schon in beim Apple BugReport unter ID#5567648, für die anderen ist es ein Features we
Aufgenommen: Okt 31, 09:29
Im ersten und zweiten Teil der MacOSX 10.5 Firewall Saga ging es noch darum, das die neue Application Firewall etwas eigentümlich arbeitet. So hat sich Apple von 10.4 auf 10.5 mehr oder weniger von IPFW entledigt und nur noch ICMP wird via IPFW geblockt o
Aufgenommen: Nov 07, 11:42
Apple hat gestern das erste Update zu erst kürzlich erschienen MacOSX 10.5 (aka Leopard) herausgebracht. So gibt es neben vielen Detailverbesserungen wie beispielsweise am Finder, TimeMachine und den DiskUtilities, auch eine Verbesserung an der neuen App
Aufgenommen: Nov 16, 10:48