Klar wie Abseits: Eine Firewall verhindert Verbindungen zwischen einem Rechner und einem anderen. Welche Verbindungen das sind, entscheidet man mit Regeln; zum Beispiel “Antworte nicht auf ein ‘Hallo?’.” Also sollte die Einstellung der Firewall einfach sein. Sie ist es nicht, was unter anderem an den verwirrenden Begriffen liegt.
In der Sprache der Techniker lautet der vorige Absatz: Eine Firewall blockiert Verbindungen von und zu bestimmten Ports, zum Beispiel “Ignore ICMP echo requests”. Im Apple-eigenen Deutsch heißt das noch einmal anders: “Tarn-Modus aktivieren” (in den Systemeinstellungen von Mac-OS X 10.5 unter “Sicherheit > Firewall > Weitere Optionen”).
Das ist ein “Port”
Unter “Port” stellt man sich am besten eine Art Fenster in einer Mauer vor. Wenn eine Software eine Verbindung zu einer anderen aufbaut, braucht es dazu auf beiden Rechnern offene Fenster. Die Fenster auf den Rechner sind nummeriert von 1 bis 65535, wobei die ersten 1024 Nummer fast vollständig als “wohlbekannt” oder besser “vorbelegt” gelten – diese Fenster führen immer zur gleichen Software.
Ein Beispiel: Will ein Browser Daten von einem Server laden, baut er eine Verbindung zum Port 80 des Servers auf, da hinter dem Fenster mit der Nummer 80 die Server-Software wartet (zum Beispiel Apache oder Microsoft IIS).
Weitere Fenster öffnen
Mac-OS X 10.5 öffnet ab Werk eine Reihe von Ports (weniger als Windows XP, aber mehr als Mac-OS X 10.4). Jede aktive Software kann weitere öffnen – vorausgesetzt ein Benutzer mit Verwaltungsrechten hat die Software gestartet oder auf eine Rückfrage mit Benutzername und Kennwort geantwortet. Weil wahrscheinlich niemand akkurat Buch darüber führt, wann er welcher Software diese Erlaubnis gegeben hat, empfehlen wir die Firewall einzuschalten. Leider sind die entsprechenden Optionen in den Systemeinstellungen unter “Sicherheit > Firewall” erklärungsbedürftig.
Wie man die Firewall einschaltet
In den Systemeinstellungen gibt es unter “Sicherheit > Firewall” drei Ankreuzfelder. Das erste davon ist keine sinnvolle Option: “Alle eingehenden Verbindungen erlauben” heißt übersetzt “Firewall aus”.
Die zweite Option dagegen ist radikal: Die Firewall blockiert alle eingehenden Verbindungen. Ausgenommen davon sind nur essentielle Dienste wie Bonjour oder das Unix-Programm configd, das unter anderem für den Dienst DHCP nötig ist, der bewirkt, dass der Mac eine Internetverbindung über einen Router aufbauen kann.
Wer “nur notwendige Dienste” erlaubt, bekommt einen sehr sicheren Mac. Sinnvoll ist das zum Beispiel, wenn man mit einem Notebook in einem Hotel oder am Flughafen arbeitet. Denn mit dieser Einstellung kann zum Beispiel Mail noch E-Mails vom Server lesen oder der Browser Internetseiten laden. Aber es ist unter anderem nicht möglich, eine Chat-Verbindung aufzubauen (siehe links “Chat-Blocker”).
Kontrolle über die Firewall
Für den Alltag empfehlen wir immer die dritte Option “Zugriff für bestimmte Dienste und Programme erlauben”. Sie funktioniert teilweise anders als die Firewall von Mac-OS X 10.4. Neu ist, dass man in der Firewall Einstellungen für einzelne Programme bietet; es ist nicht notwendig, sich mit den eingangs erwähnten Ports zu befassen.
Die Einträge in dieser Liste entstehen teilweise automatisch, teilweise basieren sie auf den Entscheidungen, die man bei bestimmten Rückfragen trifft. Automatisch eingetragen werden Dienste, die man in den Systemeinstellungen unter “Sharing” aktiviert. Jeder dieser Dienste kann ohne eingehende Verbindungen nicht funktionieren, deshalb hat Apple diese Automatik eingebaut. Sind Dienste aktiv, findet man deren Namen oberhalb des waagrechten Strichs in der Liste der Firewall. Weitere Einflußmöglichkeiten hat man dabei nicht.
Bei den Programmen dagegen arbeitet die Firewall mit einem anderen Mechanismus: Startet man eine Software, die die Firewall nicht kennt, bekommt man die Rückfrage “Möchten Sie, dass das Programm XYZ eingehende Netzwerkverbindungen akzeptiert?”. Die Antwort trägt das Betriebssystem dann in die Liste in den Systemeinstellungen (“Sicherheit > Firewall”) ein. Dort kann man sich im Zweifelsfall umentscheiden oder den Eintrag wieder ganz aus der Liste entfernen. Letzteres geht mit einem Klick auf das Minuszeichen unter der Liste, ersteres mit einem Klick auf den Eintrag in zweiten Spalte der Liste.
Tarnung ein
Wir empfehlen grundsätzlich in den Einstellungen der Firewall von Mac-OS X 10.5 den Tarnmodus zu aktiveren (unter Systemeinstellungen > Sicherheit > Firewall > Weitere Optionen). Denn damit macht man die Arbeit eines Hackers etwas schwieriger, weil er auf eine Reihe von Standardanalysen keine Antwort erhält. Der Mac ist allerdings nicht unsichtbar, obwohl Apple das Wort “Tarnung” verwendet. Denn ein erfahrener Hacker weiß, dass auf eine Dienstanfrage eigentlich die Antwort “Dienst nicht erreichbar” kommen müsste. Wenn er – bei eingeschaltetem Tarnmodus – keine Antwort bekommt, bedeutet das für ihn: “Hier existiert ein Rechner, der mit einer Firewall geschützt ist.” Manche Hacker fühlen sich durch eine solche “Rückmeldung” herausgefordert…
Empfehlungen für unterwegs
Solange man zu Hause arbeitet, ist die Firewall nur aktiv, wenn man direkt per Modem (analog oder ISDN) mit dem Internet verbunden ist. Wer über einen Router oder über WLAN (auch: Airport) im Internet aktiv ist, ist bereits halbwegs gut geschützt. Fast alle heute erhältlichen Router (ohne oder mit WLAN) enthalten eine immer aktive Basis-Firewall. Außerdem trennen sie mit “NAT” (“network address translation”) die Rechner im Haus vom Internet, so dass man zwar von drinnen nach draußen, aber ein Hacker nicht umgekehrt Verbindungen aufbauen kann.
Ganz anders wenn man mit einem Notebook unterwegs ist. Wenn man dann beispielsweise in den Systemeinstellungen “File Sharing” oder “Screen Sharing” aktiviert hat, ist der Rechner beispielsweise in manchen Hotels für andere Gästen sichtbar, wenn diese ebenfalls Mac-OS X 10.5 verwenden – es genügt im Finder ein Fenster zu öffnen und einen Klick auf den Eintrag “Freigaben > Alle…” zu machen. Ähnliche Überraschungen erlebt man, wenn man in einem öffentlichen WLAN (zum Beispiel “T-Mobile Hotspot”) iTunes startet und plötzlich die Musikbibliotheken wildfremder Menschen sichtbar wird.
In öffentlichen Netzen empfehlen wir deshalb die zweite Option der Firewall, “Nur notwendige Dienste erlauben”. Alternativ könnte man auch in den jeweiligen Programmen die Server-Dienste abschalten; in den Einstellungen von iTunes zum Beispiel im Bereich “Freigabe” mit der Option “Meine Mediathek im lokalen Netzwerk freigeben”. Weniger Arbeit ist allerdings die Beschränkung auf notwendige Dienste in den Systemeinstellungen unter “Sicherheit > Firewall”. Die zuvor zusammengestellte Liste, mit der man den Zugriff auf bestimmte Software erlaubt, bleibt dabei erhalten. Zu Hause kann man deshalb relativ einfach wieder die komfortable dritte Option der Firewall in den Systemeinstellungen wählen.
Fazit
Die Firewall von Mac-OS X 10.5 ist gewöhnungsbedürftig. Apple bietet im Internet eine relativ brauchbare Erklärung , allerdings fehlt dort der Hinweis auf die Nebenwirkungen einer aktiven Firewall. Für die Zukunft hoffen wir, dass Apple zusätzlich Blockierhilfen für jene Verbindungen bietet, die vom eigenen Mac ausgehen – weil beispielsweise eine Software prüft, ob auf dem Server des Herstellers ein Update bereit steht. Denn dafür gibt es im Moment nur die Software Little Snitch von Objective Development, die aber ebenfalls nicht ganz einfach zu verstehen ist.
Info – Vor Mac-OS X 10.5.1
Von Oktober 2007 bis Mitte November 2007 fand sich in den Systemeinstellungen unter “Sicherheit > Firewall” die Option “Alle eingehenden Verbindungen blockieren”. Eine glatte Lüge, die Apple mit dem Update auf Mac-OS X 10.5.1 korrigierte. Denn im Hintergrund sind einige (von Apple als “vertrauenswürdig” eingeschätzte) Programme trotz dieser Einstellung in der Lage, Internet-Verbindungen aufzubauen.
Mit demselben Update hat Apple einen Mechanismus umgestellt, der vorher Software wie Skype lahm legte. Denn die Firewall speichert für jede Software eine Art Prüfsumme, wenn diese Software versucht, einen Port zu öffnen. Ändert sich die Prüfsumme (zum Beispiel weil ein Virus die Software geändert hat), blockiert die Firewall alle Verbindungsversuche zu dieser Software. Versucht man die Software zu starten, wird sie automatisch nach wenigen Sekunden wieder beendet. Skype hat einen eigenen, ganz ähnlichen Prüfmechanismus, der bis zum Update auf Mac-OS X 10.5.1 allerdings die Firewall behinderte. Deshalb war es damals unmöglich, Skype zu nutzen.