Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerksicherheit Grundkurs

Mac OS X Personal Firewall

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Mac OS X verfügt ebenfalls über eine im Betriebssystem integrierte Personal Firewall. Diese kann entweder über eine grafische Oberfläche oder einen Terminal-Befehl eingerichtet werden.

Transkript

Auch ohne OSX gibt es Firewalls. Wir schauen uns jetzt mal an, wie man die einrichtet. Es gibt die eine Möglichkeit, das über die grafische Benutzeroberfläche zu machen. Hier über den Apfel, dann Systemeinstellungen, wir gehen dann auf Sicherheit, Firewall, das Schloss öffnen. Jetzt können wir hier die Firewall aktivieren und können uns mal die Optionen anschauen. Hier sehen Sie: Bildschirmfreigabe, Datei- freigabe, SSH und Entfernte Verwaltung. Das sind Punkte, die über die sogenannte Freigabe von Apple schon definiert wurden, die stehen hier jetzt drin. Ansonsten könnten Sie jetzt noch hergehen und könnten eine Applikation auswählen, aber Sie können im Prinzip nur die eingehenden Regeln definieren. Das ist ein bisschen wenig. Wenn Sie mehr machen wollen, müssen Sie entweder auf einen Dritthersteller zurückgreifen, oder aber man macht das Ganze zu Fuß. Das schauen wir uns jetzt mal an, wie das funktioniert. Wir haben hier das Terminal geöffnet und ich muss mich natürlich in dem Fall als Root anmelden, als Systemuser. Das geht dann über den Befehl: "sudo -i". Ich habe den schon mal eingetragen. Bin also schon bereits in der Lage hier arbeiten zu können. Jetzt gibt es einen Befehl, der heißt "ipfw". Mit diesem Befehl ipfw sind wir in der Lage diese ganze Komponente zu steuern. Ipfw...Jetzt sollte ich auch das tun,was ich sage Da haben wir als erstes: 65535 allow ip from any to any. Das ist die höchste Regel, die letzte Regel, die als letztes greift. Die heißt in dem Fall: Jeder darf alles. Das bedeutet: Wir haben momentan keine Einschränkung hinsichtlich der Firewall. Möchte ich jetzt Einschränkungen durchführen, dann mache ich das dadurch, dass ich quasi Einträge vor diese Nummer eintrage. Das heißt: Sie müssen bei der Definition der Firewall immer eine Nummer angeben, und definieren dann dort die Position, an der sich diese Regel befindet. Dadurch, dass Sie die Position definieren, wird auch die Reihenfolge bestimmt. Diese Firewall arbeitet nach der Reihenfolge. Das heißt: Sie arbeitet Stück für Stück die Liste ab. Wenn sie irgendwann mal einen Treffer oder "matcht", dann führt sie das aus, bzw. dann gilt diese Regel für sie und sie schaut nicht, ob es da noch eine Alternativvariante gibt. Das heißt: Es wird immer von 0 oder von 1 bis 65535 durchgearbeitet. Gibt es eine Regel auf diesem Weg, die der eingehenden oder abgehenden Netzwerkinformation entspricht, dann greift diese Regel. Ansonsten läuft sie durch bis 65535. Dann ist quasi die Abfrage zu Ende. So muss man sich das vorstellen. Das heißt wichtig ist in diesem Fall auch, dass die Position eingehalten wird. Bevor wir mit der ganzen Sache loslegen, sollten Sie sich im Klaren sein, dass Sie hier in Echtzeit arbeiten und Sie immer Gefahr laufen, dass Sie sich den Ast absägen, auf dem Sie sich gerade befinden. Wenn man später dann die Regeln setzt, sollte man des Weiteren dafür sorgen, dass die Regeln, die vorher drin waren, wegfliegen oder entfernt werden. Das kann man mit dem "flush" hier durchführen. Damit sind die Regeln weg, jetzt können wir die neuen setzen. Das macht also immer Sinn, erst mal putzen und dann die neuen Regeln zu definieren. Schauen wir uns mal die neuen Regeln an: fwbsp1. Hier haben wir ein paar Regeln mal zusammengefasst. Aufbau ist: Das ist der Befehl, der ausgeführt wird. Wir haben hier so ein kleines Skript. Dann hier haben wir "hinzufügen" oder über "delete" können Sie die Sachen löschen. Dann hätten wir dementsprechend die Position in der Liste. Das heißt: Das wäre hier die Position 1000. Wenn Sie diese Regel schreiben, lassen Sie immer ein bisschen Lücke, dass Sie das dementsprechend noch dazwischen schreiben können. Wenn Sie eine Liste schreiben so wie hier, dann kann man das ja relativ schnell umnummerieren, aber wenn man das jetzt von Hand schnell tippen würde, wäre es immer ganz sinnvoll, wenn man da so ein bisschen Platz lässt, um die Möglichkeit zu haben, noch eine Regel dazwischen zu schieben. Dann haben wir, was wir mit dieser Regel machen: erlauben oder verweigern. Das Protokoll, für das es gilt und dann dementsprechend: von any für any usw. Das heißt also: Die Richtung bzw. welcher Port und welche IP-Adresse hiervon betroffen ist. Die ersten Eintragungen sollten immer übernommen werden, so wie sie sind. Damit ist gewährleistet, dass die Netzwerkkarten, die beim Apply gebaut sind, ohne Probleme mit dem ganzen Netzwerk funktionieren. Das ist einfach ein Satz Standardregel, den Sie bitte übernehmen sollten. Einfach so eintippen. Als nächstes schauen wir uns mal ein paar Regeln an. Da haben wir zum Beispiel die Regel für den Port 5900. Warum habe ich ausgerechnet die gewählt? Ganz einfach: Wenn ich jetzt dieses Skript starten würde und hätte 5900 nicht, würde ich mich sofort von meinem Rechner trennen, ich bin nämlich per VAC in diesem Fall auf den Apple aufgeschaltet. Was in dem Fall auch ein schönes Beispiel ist, weil wir jetzt mal die Möglichkeit sehen, wie sieht so was aus: eingehend, wie sieht so was aus: abgehend. Wir haben also hier wieder ipfw, wir haben hinzufügen. Ich nehme die Position 2100, erlaube über das Protokoll tcp from any, also egal woher, 5900, to any out. Jetzt wird man sich fragen: Was ist das für eine komische Regel? Die macht erst Sinn, wenn wir uns mal die andere Regel anschauen. Gehen wir erst mal da unten hin. Also: ipfw, add 2200, erlaube tcp, von überall her, to any 5900. Das ist die In-Regel. Das heißt: Hier wird definiert, dass von überall her in diesem Fall, zu - man könnte natürlich noch spezifisch eine IP-Adresse angeben, wenn Sie mehrere Netzwerkkarten haben, aber in der Regel reicht da any aus - dann in meinem Rechner auf den Port 5900 gehen. Das wäre also die Regel, die es mir erlaubt, auf diese Maschine über den Port 5900 zugreifen zu können. Deswegen auch hier "in". Bei Apple oder bei dieser Firewall müssen wir auch den Rückweg beschreiben, sonst funktioniert das Ganze nicht. Das machen wir hier: ipfw add 2100, erlaube tcp from any 5900 to any out. Das heißt: Das wäre jetzt quasi von meiner Maschine. Das heißt: Ich habe Port 5900 und wenn ich ein Paket nach draußen schicke, bin ich ja derjenige, der den Port 500 hat, den Quellen-Port. Der Destination-Port der interessiert mich ja nicht, weil der wird ja sowieso immer ein anderer sein. Das heißt also: Das ist "in", dass ich in der Lage bin, überhaupt den Port 5900 anzusprechen, und "out", damit ich das Paket dann auch wieder zurückschicken kann. Das wäre also eine Regel, die man abändern kann, die gilt, wenn eine Information von außen in den Apple in diesem Falle reingeht und dort einen Dienst, der im Apple läuft, anspricht. Schauen wir uns diese Regel einmal an. In diesem Fall haben wir jetzt den umgekehrten Weg. Das ist erst mal alles gleich geblieben: from any to any out. Das heißt also in dem Fall wiederum von unserer Maschine, von welcher Schnittstelle auch immer, to any 80. Das heißt also: zu irgendjemand draußen, zum Port 80. Der Port 80 ist ja bekanntlich der Port für http. Das ist jetzt die Gegenseite. Das heißt: from any 80 to any in. Das heißt also: Wir haben quasi hier den Rückweg. Der Server von außen hat den Port 80, von innen kriegen wir ja irgendeinen Port zugewiesen. Deswegen geben wir den hier nicht an. Dann steht dort: in. Port 80 ohne 53 wäre unspektakulär ohne DNS, weil dann könnten Sie ja, obwohl Sie auf Port 80 zugreifen, sich keine Webseite holen, es sei denn, die stehen noch bei Ihnen im Cache. Deswegen haben wir das Gleiche noch mal mit dem Port 53 gemacht. Das wäre jetzt in dem Fall der DNS-Port. Beim DNS ist ip sinnvoll. DNS kann sowohl UDP also auch TCP sein. Hier hätte man jetzt auch TCP verwenden können, ich habe jetzt mal IP hingestellt. Da geht Port 80 TCP und UDP. Haben wir jetzt in dem Fall nicht, aber als Beispiel habe ich es einfach mal stehen lassen. Wir haben jetzt VNC rein, funktioniert, WEB nach draußen muss funktionieren und DNS nach draußen muss funktionieren. Alles andere wird geblockt. Schauen wir uns doch mal das Ergebnis dieser Informationen hier an. Wenn Sie dieses Skript nun ausführen wollen, dann müssen Sie dieses Skript auch ausführbar machen. Dafür empfehle ich in dem Fall: chmod und dann die 555, dann in diesem Fall heißt das Ding fwbsp1. Damit wird das Ganze ausführbar und "read only", also Sie als Verwalter können trotzdem noch drauf schreiben. Man kriegt aber immer noch mal so eine Warnmeldung, dass es überschrieben wird. Das ist immer ganz sinnvoll bei solchen Komponenten. Starten wir das Ganze mal. Gestartet wird dann mit ./fwbsp1. Man kann sehen: Die Information rauscht durch. Das heißt: Das sind die Informationen, die der Apple quasi zurückgibt. Da sieht man schon: Er hat so ein bisschen was verändert. Die Information ist dennoch die gleiche geblieben. Das heißt: Die Information, die wir haben ist genau die, die wir mit den Regeln definiert haben. Jetzt können wir ja mal schauen, ob das Ganze funktioniert. Ich gehe jetzt zum Beispiel mal auf den Spiegel. Das funktioniert wunderbar, Spiegel läuft durch. Jetzt probieren wir mal Google. Google funktioniert nicht. Warum? Google ist https und das haben wir ja nicht freigegeben. Google ist https. Also nicht Port 80, sondern Port 443. Da ja jetzt keine Regel trifft, wir haben ja nur 5900, das sowieso nur eingehend, dann haben wir 80 und 53 und keine 443, ergo passt das alles. Also Google können wir in diesem Fall nicht erreichen. Macht natürlich heutzutage keinen Sinn, nur Port 80 freizugeben. Also müssen wir das Ganze noch mal für 443 durchführen, für https, damit wir dann auch Security fahren können. Dann ipfw flush. Ich habe das mal vorbereitet. Punkt/fwbsp2. Da müssten wir jetzt die 443 drin haben, das kann man unten sehr schön sehen. Und jetzt schauen wir mal, ob wir Google bekommen. www.google.de und es funktioniert. Sie sehen: https. Nun haben wir Port 80, Port 443 für https und Port 53 für DNS. Damit kann man gut leben und der Rest, egal was sonst auf uns zukommt, ist komplett blockiert. Man sollte sich das auch dokumentieren. Denn man läuft ja immer Gefahr, dass man das irgendwann mal vergessen hat, die Einstellungen, und ist dann überrascht, wenn bestimmte Dienste nicht erreichbar sind. Wir haben also gesehen: Es gibt grafische Varianten, die sind bei OSX recht eingeschränkt, es gäbe noch Drittanbieter, aber man kann das Ganze, weil wir ja hier einen KERL, der UNIX ähnlichen CURL haben, können wir das auch über das Terminal und über Textinformationen realisieren.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!