Apples Schminkstift bei der Firewall

Apple hat gestern das erste Update zu erst kürzlich erschienen MacOSX 10.5 (aka Leopard) herausgebracht. So gibt es neben vielen Detailverbesserungen wie beispielsweise am Finder, TimeMachine und den DiskUtilities, auch eine Verbesserung an der neuen Applikations-Firewall von MacOSX 10.5.

Diese stand bei vielen in der Kritik, besonders heise-security wollte schon fast eine Viren/Trojaner-Plage ob der neuen Applikations-Firewall ausmachen und spielte in Berichten darauf an das man bei Microsoft den gleichen Fehler auch schon machte, in dem man zu lax mit der Sicherheit umging. Nun ist MacOSX nicht gleich Windows, zum einen ist das System, nach dem heutigen Stand, an sich "sicherer" als Windows (welches immer noch das beliebteste und leichteste Ziel für Hacker, Cracker und Script-Kiddies ist).

Nun hat Apple, sei es durch diverse Berichte über die neue Applikations-Firewall oder auch nicht, die Applikations-Firewall mit dem Update auf 10.5.1 nachgebessert.

Aber ist dem wirklich so?

Wirft man einen Blick auf die Einstellungen der Applikations-Firewall, so wurde hier der Punkt "Alle eingehenden Verbindungen blockieren" herausgenommen, statt dessen steht dort nun "Nur wesentliche Dienste zulassen". Immerhin ein Schritt in die richtige Richtung, da die alte Bezeichnung schlicht falsch war. Hier konnten immer noch diverse Dienste, wie beispielsweise der NTPD, erreicht werden.
Nun ist dieser auch bei der Einstellung "Nur wesentliche Dienste zulassen" nicht mehr erreichbar. Allerdings sieht Apple als wesentliche Dienste diese an:

mDNS
Bonjour
IPSec

Was aber wenn man diese Dienste auch blockieren möchte? Oder anders gesagt, sagt einem Apple nun was notwendig ist und was nicht?

Es fehlen daher immer noch zwei Punkte in der GUI der Applikationsfirewall:

- Blockiere alle eingehenden Verbindungen
- Zeige die notwendigen Dienste in der GUI an mit der Möglichkeit diese manuell an- oder abzuwählen

Schaut man sich dann die Hilfe an, so wird hier immer noch von "Alle eingehenden Verbindungen blockieren" gesprochen, dabei ist dieser Punkt doch "Nur wesentliche Dienste zulassen" gewichen.

Apple selbst macht es doch vor das man den Punkt "Nur wesentliche Dienste zulassen" feiner einstellen könnte. Schaut man sich den Punkt "Sharing" an, so kann hier explizit angegeben werden welche Dienste zu aktivieren sind. Analog könnte man dies auch in der Applikations-Firewall einführen.

Was also bleibt? Im groben ist dieses Update für die Applikations-Firewall ein Schminkstift, welcher nichtmal besonders leidenschaftlich und genau angsetzt wurde. Es bleibt weiterhin ein bitterer Nachgeschmack.

Apple sollte in die GUI auch IPFW integrieren um beispielsweise alles dicht zu machen, oder die Firewall-Regeln global einstellen zu können. Programme wie LittleSnitch machen es vor. Hiermit kann jeder, dank der grafischen Aufbereitung, eine IPFW-Firewall entsprechend konfigurieren und den Bedürfnissen anpassen. Von Apple wird man hier im Regen stehen gelassen, da man dort auf die Applikations-Firewall setzt und wohl der Meinung ist, das nur Apple weiss welche Dienste wirklich notwendig sind und welche nicht.

Sicherlich ist die Idee von Apple, jede Applikation mit einem hash zu versehen gut, die Ansätze sprechen für diese Applikations-Firewall, allerdings scheint es immer noch nicht bis zu Ende gedacht zu sein. Auch scheint mir Apple das Potentzial, welches sich aus dem Verbund einer Applikations-Firewall und Portfirewall, aka IPFW, ergeben könnte, nicht klar zu sein. Würde man dies verbinden, so könnte Apple auch beim Thema Sicherheit ganz vorne dabei sein.

Dieser Eintrag wurde geschrieben von asg am Freitag, 16. November 2007 um 10:17. und ist abgelegt in MacOSX. Sie können einen Kommentar hinterlassen, oder ein Trackback von Ihrem eigenen Blog senden.

Ihre Bewertung dieses Artikels:

2. -2
3. -1
4. 0
5. +1
6. +2

Derzeitige Beurteilung: 3.00 von 5, 274 Stimme(n) 0 Klicks

Zuletzt bearbeitet am 17.11.2007 16:57

Als PDF ansehen: Dieser Artikel | Dieser Monat | Vollständiges Blog

Trackbacks

1. God bless those pagans.

   Apples Schminkstift bei der Firewall Jobs Salon halt, ein Duo aus Nerd und Usability-Mensch wäre imho besser für Apple und MacOS Ports Status Im großen und ganzen ist das okay so und die Leute geben sich auch eine gewaltige Mühe. N...

   Weblog: F!XMBR
   Aufgenommen: Nov 16, 21:01
2. Firewall Test: pfSense gewinnt

   Firewalls, bzw. Paketfilter sind in aller Munde. Zu letzt machte uns die neue Applikations-Firewall von Apple viel Freude. Wer ein reines Firewallsystem möchte, der war bisher mit m0n0wall oder pfSense immer gut beraten. Diese eigenen sich hervorragend

   Weblog: grUNIX
   Aufgenommen: Nov 27, 15:25

Kommentare

1. Oliver schreibt:
   
   #1 16.11.2007 20:35 (Antwort)

   Ich denke eher es liegt an Jobs, er mußte schon einmal gehen, weil er quasi "Amok" in der Firma lief. Er spielte Teams gegeneinander aus und spielte auch Sturrkopf, wenns nicht nach seinem Kopf ging. Er bezeichnet sich nicht umsonst als einfachen Anwender, das wirkt gut beim Kinden, ist jedoch für die Developer einfach nur ein GAU. Da fehlt einfach jemand an der Spitze wie einst WOZ, der sich ebenso durchzusetzen vermag und das Gleichgewicht zwischen Technik und Usability wahrt. Mit Jobs Rückkehr verschob sich das imho gewaltig.

2. asg schreibt:
   
   #1.1 16.11.2007 21:01 (Antwort)

   Ich halte nichts davon etwas auf eine Person zu schieben. Dies machen die Trolle schon immer mit MS, da ist nur Gates an allem schuld, und nun bei Apple das gleiche? Das ist imho zu einfach.
   
   Ich hebe die Jobs Biografie gelesen. Ja, er war ein Ekel vor dem Herren. Wie fast jeder andere Boss in solchen Firmen.
   
   Und eines muss man ihm lassen, er kann die Leute anpeitschen, zu Höchstleistungen und das es dann so passt wie er sich, die Designer, dachten.
   
   WOZ selbst war auch nicht immer so einfach, und, man glaube es oder nicht, Steve Jobs hat sich geändert in den letzten Jahren, wenngleich die Leichen der Vergangenheit immer noch im Keller liegen.
   
   Achja, die App-FW ist nicht das gelbe vom Ei, der Rest gefällt aber .

3. Oliver schreibt:
   
   #2 17.11.2007 00:58 (Antwort)

   Es ist nun einmal aber auch so das Personen wie Gates und Jobs den Ton in der Firma angaben bzw. angeben. Auch bei Linux herrscht der "gute" Diktator und wenn man das sagt wird gekontert "wer will kann forken". Da zeigt sich aber auch die Kontroverse Realität Vs Wunschtraum. Linus gibt den Ton vor und der Rest wird an eine vertrauenswürdige Gruppe im kleinen Kreis deligiert.
   
   Was soll ich bashen bzw. die Meinung verstecken? Vor den jetzt beinahe drei Jahren BSD nutzte ich ca. 10 Jahre Linux, nebenher auch Windows in seinen NT Vertretungen, für NT4 machte ich auch mal meinen MSCE. Bis 95 war ich ein Mac Fan, nach der Pleite von Commodore war dies für mich der konsequente Schritt. Neuere Macs kenne ich seit dem PowerPC 601, inkl. Klones, ebenso. Ich arbeite an dem Zeugs u.a. und ich brauche ehrlich gesagt keine Biographie obwohl ich z.B. Gates "Zukunftsparodie" 'Der Weg nach vorn' ebenso gelesen haben wie 'I WOZ';-) Ich weiß auch das letzterer kein Opensource Freund ist, aber Nerd durch und durch und diese Komponente fehlt imho. Letztendlich sehe ich beim Mac beispielsweise die Entwicklung, von frühen Schulzeiten am Apple II, über die Jobs-lose Zeit bis zum Advent seiner Rückkehr. Das noch mehr Mechanismen herrschen als ein Gott-gleicher Herrscher ist mir ebenso verständlich, wie aber auch der Umstand das eine herbe Zäsur stattfand. Denn zuvor waren die Macs auch technologisch überlegen (nicht nur Anhand von Dingen ausmachbar, wie Magnetstecker am Laptop) und softwaretechnisch dem PC weit vorraus. Auf meinem Quadra damals konnte ich schon nebenher in einem Fenster TV schauen, da war es auf dem PC mit viel Aufwand einigermaßen ruckelfrei gerade mal unter DOS möglich
   Meine Meinung drückt auch nur aus, das Apple eine große Zielgruppe damals vor den Kopf stieß, eben jene "Nerds" ... ja auch die gab es am Mac
   Natürlich verkürzt sich meine Meinung von Jahr zu Jahr und bei Systemen die ich wirklich mal schätzte ist es wohl umso stärker oder eben bei jenen an welchen ich noch arbeiten muß. Windows beispielsweise rückt da immer mehr in den Hintergrund Aber wie du siehst kann ich auch weit ausholen und bei Bedarf noch mehr in Details gehen. Das wiederum interessiert aber wohl nur jene, die die gleiche Erfahrung machten. Und BSD? Da kann ich ebenso meckern, ich denke manchmal ist es auch nur Gebashe, wenn man es denn so sehen möchte. Mein ruppiger Ton hilft da gewiß dabei g

4. Andreas schreibt:
   
   #3 17.11.2007 16:57 (Antwort)

   "[...]Sicherlich ist die Idee von Apple, jede Applikation mit einem hash zu versehen gut[...]"
   
   Ich dachte, es kommen digitale Signaturen zum Einsatz? Profane Prüfsummen wären irgendwie nutzlos, und folglich eben keine gute Idee

Kommentar schreiben