MacOSX 10.5: Firewall, die zweite
Wie gestern schon geschrieben, scheint die Firewall (eigentlich der Paketfilter) etwas buggy zu sein. Für die einen ist es ein Bug, anscheinend gibt es das Problem auch schon in beim Apple BugReport unter ID#5567648, für die anderen ist es ein Features welche von Apple genau so gewollt ist. Da kann auch mal Apple selbst zitiert werden:
Einige Programme können über die Firewall zugreifen, obwohl sie
nicht in der Liste angezeigt werden. Hierzu zählen u. U.
Systemprogramme, Dienste und Prozesse (z. B. als "root" ausgeführte
Komponenten). Auch digital signierte Programme, die automatisch von
anderen Programmen geöffnet werden, können zu dieser Gruppe gehören.
Sie können ggf. den Zugriff dieser Programme über die Firewall
blockieren, indem Sie sie zur Liste hinzufügen.
Dies würde auch das Verhalten der Firewall erklären. Erklären ja, gut kann man es allerdings nicht heissen. Man stellt die Firewall unter der GUI, nur darum ging es im gestrigen Beitrag folgendermaßen ein:
Die hilfe sagt dabei auch das aus was man erwartet:
Allerdings ist der NTPD immer noch erreichbar, und auch andere Dienste können weiterhin erreicht werden.
Die Verwunderung war gross, zumal IPFW, egal was man in der GUI der FW einstellte, keine Änderungen an den eigenen Rules vornahm. Ausser der Filterung von ICMP wird hier keine Rule (ok, eine die alles erlaubt) geladen.
Einfach Erklärung, es gibt unter MacOSX 10.5 eine Application Firewall. Nun hat man also neben IPFW, welches stiefmütterlich behandelt wird, noch eine Applicationfirewall. Und genau diese ist von Apple so konzipiert wie es im Verhalten ersichtlich ist. Es ist also ein Feature, kein Bug. Wirklich anfreunden kann ich mich damit nicht, da mir die GUI (und Hilfe) etwas anderes sagt als dann wirklich geschieht. Designfehler? Schlicht übersehen? Doch ein Bug? Man kann es sich zur Zeit aussuchen.
Die Applicationfirewall von MacOSX 10.5 liegt unter
/usr/libexec/ApplicationFirewall
Leider kann hierzu keine manpage gefunden werden, auch fehlt es an einer entsprechenden Dokumentation die sich mir bisher verschliesst.
Um das ganze aber auch wieder zu relativieren, MacOSX 10.5 hat mit IPFW eine anständige Firewall dabei, welche sich nutzen lässt. Allerdings kann der User da nicht auf die GUI setzen, sondern muss entsprechende Änderungen im Terminal vornehmen. Die manpage zu IPFW hilft dabei weiter. Auch gibt es hierzu auf den Diskussionsseiten von Apple schon einige, einfache, Vorschläge, mit welchen der unerfahrene Benutzer seinen Mac "dicht" machen kann.
Und nein, der Mac ist nun nicht gleich offen wie ein Scheunentor, er wird nicht zu einer Viren- und Spamschleuder, das Bedrohungsszenario ist sehr gering und der User muss nun keine Angst haben. Der Punkt ist, das Apple die neue Application Firewall besser beschreiben sollte. Dinge die in der GUI versprochen werden, und dann nicht eingehalten wirken mehr als komisch, es ist einfach inkonsitent. Und gerade auf die Konsistenz legt Apple mit seiner GUI doch wert, warum dann nicht auch bei der Beschreibung und dem wirklichen geschehen der Firewall?
Im ersten und zweiten Teil der MacOSX 10.5 Firewall Saga ging es noch darum, das die neue Application Firewall etwas eigentümlich arbeitet. So hat sich Apple von 10.4 auf 10.5 mehr oder weniger von IPFW entledigt und nur noch ICMP wird via IPFW geblockt o
Aufgenommen: Nov 07, 11:42
Apple hat gestern das erste Update zu erst kürzlich erschienen MacOSX 10.5 (aka Leopard) herausgebracht. So gibt es neben vielen Detailverbesserungen wie beispielsweise am Finder, TimeMachine und den DiskUtilities, auch eine Verbesserung an der neuen App
Aufgenommen: Nov 16, 10:48
Firewalls, bzw. Paketfilter sind in aller Munde. Zu letzt machte uns die neue Applikations-Firewall von Apple viel Freude. Wer ein reines Firewallsystem möchte, der war bisher mit m0n0wall oder pfSense immer gut beraten. Diese eigenen sich hervorragend
Aufgenommen: Nov 27, 15:26