Beschreibung

Auch wenn für Mac OS X nicht das gleiche Gefahrenpotential wie auf anderen Betriebssystemplattformen bestehen mag, sollte man sich doch bewusst mit dem Thema Sicherheit und den Gefahren, die im Internet lauern, auseinandersetzen.

Horch, was kommt von draußen rein

Wenn man sich mit dem Rechner z.B. mit dem Internet verbindet, sind nach außen prinzipiell alle freigegebenen Dienste sichtbar. Im Auslieferungszustand setzt Apple zum Glück auf Sicherheit und hat fast alle relevanten Dienste deaktiviert. Leider hat Apple auch die Firewall deaktiviert, die umgehend aktiviert werden sollte.

  • Dienst - über das Netzwerk verfügbare Resource. z.B.: FTP, File Sharing, iChat etc.

Ein Dienst läuft normalerweise auf einen so genannten Port. Sobald ein Dienst aktiviert ist, ist auch der Port dazu geöffnet. Möchte man den Port trotzdem schließen, kann man auf den einzelnen Rechner eine Firewall installieren.

Bei Heimnetzwerken, wo man sich über einen Router nach außen verbindet, sieht die Situation etwas anders aus. Hier bestimmt der Router, auf welchen Rechner ein Dienst nach außen weitergeleitet (Port Forwarding) wird. Hier ist bei qualitativ höherwertigen, sprich teureren, Routern u.U. eine Firewall bereits integriert.

Nach Hause telefonieren - "Reverse-Firewall"

Programme wie z.B. Webbrowser greifen von dem Rechner auf das Internet zu, also von innen nach außen. In Mac OS X ist pauschal jedes Programm zu jedem Zugriff nach außen berechtigt. Und das versuchen mehr Applikationen, als man denkt.

DIE Tools unter Mac OS X, um dies zu kontrollieren und gegebenenfalls zu unterbinden sind Little Snitch und Hands Off!.

WLAN - Nachbars Liebling

Unabhängig vom Grad der persönlichen Paranoia sollte man ein WLAN niemals ungeschützt betreiben! Größtes Risiko dürfte dabei die Haftung darstellen, wenn z.B. ein Unbekannter über das offene WLAN kriminelle Handlungen begeht.

Gerätepasswort

Alle anderen Schutzeinstellungen sind sinnlos, wenn nicht der Access Point selbst geschützt ist. Dabei gelten die allgemein bekannten Regeln für Passwörter:

  • Passwort direkt nach dem Auslieferungszustand ändern
  • Je mehr Ziffern desto besser (mind. 8)
  • Keine sinnvollen Wörter; ideal ist eine zufallsverteilte Mischung aus Buchstaben und Zahlen

Verschlüsselung - WEP oder WPA?

Die Verschlüsselung des Netzwerkverkehrs erfolgt für den Nutzer völlig transparent, bedeutet keinerlei Einbuße in Komfort oder Geschwindigkteit und sollte deshalb immer aktiviert sein. Es sollte mindestens eine Schlüssellänge von 128 bit verwendet und bei WEP der Schlüssel regelmäßig geändert werden. Das Verschlüsselungskennwort kann als hexadezimale (0-9,A-F) oder als ASCII-Ziffernfolge angegeben werden. Unter Mac OS X geschieht dies entweder über das Hilfsprogramm "Internet-Verbindung" oder über das Airport Status-Icon in der Menüleiste.

Mac OS X WLAN Einrichtung mittels "Internet-Verbindung"

WEP - (Wired Equivalent Privacy) - Diese Verschlüsselungsart sollte nicht mehr verwendet werden und ist auch nicht mehr State of the Art. WEP-Schlüssel können durch Mithören des verschlüsselten Netzverkehrs innerhalb von Minuten herausbekommen werden http://www.oreillynet.com/pub/a/wireless/excerpt/wirlsshacks_chap1/. Bei älteren Geräten empfiehlt sich daher ein Blick auf die Homepage des Herstellers, ob nicht ein Firmware Update auf WPA verfügbar ist. Ein regelmäßiger Besuch der Supportseiten eines Herstellers ist generell ratsam, da öfters Firmware-Updates erscheinen, welche auch kritische Sicherheitslücken schließen. Außerdem gibt es für viele Router alternative Betriebssysteme bzw. Firmware, die unter Umständen andere Sicherheitsstandards verfolgen.

WPA - (WiFi Protected Access) - Wenn angeboten, sollte auf jeden Fall eine Verschlüsselung nach dem WPA statt WEP Standard genutzt werden.

MAC Filter

MAC ist die Abkürzung für Media Access Protokoll. In diesem wird jedem Ethernetkontroller eine weltweit eineindeutige Identifikationsnummer als Voreinstellung zugewiesen; welche MAC weitergegeben wird kann man allerdings einstellen. In den meisten Geräten läßt sich festlegen, welche MAC-Nummern sich mit diesen ausschließlich verbinden dürfen. Bei Heimnetzen, in die sich immer die gleichen Rechner einwählen, sollte diese Möglichkeit genutzt werden.

Aber: Mit entsprechenden Tools kann eine MAC Adresse auch gefälscht werden. Die MAC Filter dienen im Wesentlichen heute dazu, versehentliches Anmelden am falschen Access Point zu verhindern.

SSID

Die Service Set Identity identifiziert ein spezifisches WLAN Netzwerk. Die SSID wird normalerweise unverschlüsselt per Broadcast übermittelt um mitzuteilen: a) hier ist ein Netzwerk und b) welches. Als Gundvoraussetzung sollte die SSID im Access Point geändert werden, da u.U. Rückschlüsse auf die verwendete Hardware und damit auf bekannte Schwachstellen dieser möglich ist.

Bei manchen Geräten läßt sich das Senden der SSID ganz unterbinden. Damit wird das Netz für viele einfache Netzwerkschnüfler unsichtbar. Die Unterdrückung der SSID ist zwar nicht standardkonform, wird aber empfohlen.

Sendeleistung verringern

Falls ein Access Point die Option bietet, sollte die Sendeleistung verringert werden. Meist reicht schon ein Bruchteil der Maximalleistung für einen störungsfreien Empfang in den eigenen vier Wänden und das Abstrahlen in Nachbarwohnungen wird unterbunden.

Kabelgebundene Administration

Ein Access Point sollte in der Regel über Ethernet LAN administriert werden. Besonders Mac-User verwenden häufig Geräte mit einem plattformunabhängigen Web-Interface und konfigurieren den Router über den Browser per WLAN . Die Übertragung des Gerätepasswortes geschieht dann meist in unverschlüsselten Klartext!

Anonymes Surfen ist kein Verbrechen!

Jeder hat das Recht anonym im Internet zu surfen und sollte dies zu gegebenen Anlässen (auch aus Sicherheitsgründen) tun. Dazu kann man z.B. JAP einsetzen. Ohne Anonymisierung kommuniziert jeder Computer im Internet unter einer eindeutigen Adresse. Die besuchten Webserver, der ISP und jeder der zwischen diesen Verbindungen hängt und ggf. Sniffer zur Abhörung der Kommunikation einsetzt kann ermitteln, welche Webseiten besucht werden, ob und wie unverschlüsselt kommuniziert wird usw. Mit JAP werden die Kommunikationswege verschlüsselt und über Mixe (das sind Umwege) ihrem Ziel zugeführt. Außerdem teilt man sich eine feste Adresse mit anderen JAP-Usern. Eine Alternative zu JAP kann das Tool NetShade oder Tor sein.

Komplett anonymes Surfen ist allerdings nur begrenzt möglich und man sollte sich im Vorfeld genau über die Möglichkeiten und Risiken informieren.

Surfen über ein VPN

Ein Virtual Private Network (VPN) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netz (zum Beispiel das Internet) nutzt. Teilnehmer eines VPN können Daten sicher wie in einem internen LAN austauschen.

Antiviren-Software für den Mac

Der erste Boot-Sektor-Virus der Welt wurde auf einem Apple II 1982 unter dem Namen "Elk Cloner" von dem damals 15-jährigen Rich Skrenta entwickelt. Er verbreitete sich von Diskette zu Diskette. Trotz dieser verwandten Bedrohung fragen sich heutzutage Mac-User, wenn sie an an Antiviren-Software denken: Braucht man die?

Da es für Mac OS X bis jetzt noch immer kein einziges Virus oder Würmchen gibt, könnte man meinen, dass Antiviren-Software nur etwas für Windows User sei. Dennoch: Wer zum Beispiel mit VirtualPC, BootCamp oder Parallels arbeitet, ist prinzipiell genauso anfällig für Viren wie Windows-User selbst. Genauso ist es möglich, über Word-Dokumente Macro-Viren weiterzugeben. Ähnlich können Viren in Bildern, Musik und PDF-Dateien an Windows-User unbedarft weiterverteilt werden. Außerdem kann ein Mac zwar nicht durch einen Windows-Virus selbst infiziert werden; man kann aber aus Versehen diesen als E-Mail weiterleiten. Auf einem Mac Antiviren-Software zu installieren kann also durchaus einen Sinn ergeben. Aus Sicherheitsbedenken sollte man aber alle Auto-Update Funktionen deaktivieren und die Suche auf Dateien im Benutzerordnern beschränken. Ein regelmässiges Update der Virensignaturen ist Pflicht.

Wer nicht auf kostenpflichtige Software wie das ehemals über .Mac verteilte Virex oder NortonAV zurückgreifen möchte, kann auch ClamXav benutzen. ClamXav ist ein kostenloser Virenscanner für die Mac OS X Versionen 10.3 (Panther) und 10.4 (Tiger). Er benutzt im Hintergrund den bewährten, unter GPL-Lizenz stehenden und kostenfrei nutzbaren Unix-AntiVirus ClamAV.

Trotzdem soll dieser Abschnitt den Mac-Nutzer nicht in falsche Sicherheit wiegen. Auch auf dem Mac gibt es genügend Möglichkeit in einen solchen einzubrechen bzw. sich einen Root-Zugang zu beschaffen. Immer mal wieder treten Sicherheitslücken auf, die Apple versucht möglichst schnell mit den Sicherheits Updates zu schliessen.

Verweise

Kategorie: Internet, Sicherheit, Tutorials


Zuletzt geändert am 22.03.2015 07:22 Uhr von kt007 ( Besuche)

© 2004 – 2024 ApfelWiki

Impressum - Datenschutz

cb