Apples Firewall – ja oder nein?

[HJD]

Angesichts der mal wieder mit einem macOS-Update auftretenden Probleme mit Time Machine und NAS empfehlen Nutzer, die Firewall am Mac zu deaktivieren. Backups sollen so wieder funktionieren. Lebhafte Diskussionen entstehen da in den Foren zwischen den Verfechtern der Ansicht, Apples Firewall sei nötig weil sie Sicherheit biete, und jenen, die meinen, sie sei (nicht nur weil die Typen in Cupertino sie inzwischen komplett geschrottet haben) unsinnig weil sie eben nicht mehr Sicherheit biete und auch gar nicht tut, was man als Normalnutzer von einer Firewall erwartet.

So wie es aussieht, haben die Typen in Cupertino sie geschrottet. Sie ist, sofern man das System mit Sequoia nicht neu aufgesetzt hat, voller alter Einträge, die sich nicht mehr editieren – ja, auch nicht mal mehr löschen lassen. Und wie es aussieht, schert sich Apple darum auch einen feuchten Dreck, denn da kommt bislang nix um das Problem zu beheben.

Die Frage ist nun aber: sollte man die Firewall aktivieren oder nicht? Angeblich und laut einiger Stimmen in Foren, ist sie per default deaktiviert, also scheinbar nicht nötig. Wozu ist sie dann aber gut?

https://mjtsai.com/blog/2024/09/18/maco ... n-sequoia/

[Rotweinfreund]

Ich hatte die systemeigene Firewall noch nie aktiviert. Allerdings habe ich viele Jahre die kleine Petze genutzt.

[macfux]

Softwarefirewall ist -ich sag mal- Snakeoil.
Ein Marketing-Konstrukt aus der Windows-Welt das den Usern "Sicherheit" vorgaukeln sollte.
Das war so erfolgreich, dass Apple mit aufgesprungen ist.
Bei einem Einzelrechner gehts ja nur um den Traffic des Rechners selber. Er hostet keine Webseite, keinen Mailserver und auch sonst keine Services die im Netz stehen. Der Rechner ist im Internet nicht wirklich erreichbar.
Wenn überhaupt telefonieren irgendwelche Apps nach Hause oder Ähnliches.
Ich hatte die Firewall noch nie eingeschaltet und hab deswegen auch keine Problem in meinem Netzwerk.

[kate]

Die Frage kommt für mich ein wenig früh. Ich bin gerade dabei ein Kapitel über Firewall zu schreiben. Aber ich kann deine Frage im Moment auch kurz beantworten. Aber zunächst eine Rückfrage: Von welcher Firewall in macOS sprichst du? Es gibt nämlich eigentlich und genau genommen drei Stück.

Ich vermute du sprichst von der, die in den Systemeinstellungen per Knopf eingeschaltet werden kann, ja?
In der Tat hat Apple die in Sequoia 15.01 ein wenig geschrottet, das ist richtig. Wie es seit heute abend unter 15.1 ist kann ich noch nicht sagen, ich hab auch noch ein Leben ausserhalb von Firewalls.

Die "Firewall", die man in den Systemeinstellungen anschalten kann verhindert in den Grundeinstellungen viele eingehende Netzwerkverbindungsversuche. Das ist alles. Das kann die und macht die.
Sie ist deaktiviert, weil Benutzer in der Regel sowieso hinter NAT Gateways, Routern usw. sind und daher eingehende Netzwerkverbindungen sowieso nur aus dem LAN kommen können wo man sie meistens ja auch haben will.

Wenn es um ausgehende Netzwerkverbindungen geht, muss man entweder andere Firewall Apps einsetzen, oder die vom macOS Kernel. Es gibt da Little Snitch oder Lulu und die kommen schon mit Basiseinstellungen, die ganz gut sind, aber i.d.R. muss man eben selbst an denen Dinge verändern bis man damit leben kann. Das frustet die meisten Anwender, die im Glauben sind, dass es eine saubere und einfache Lösung für alles gibt, ohne dass sie selbst sagen müssen was sie brauchen.

Das ist Quatsch und von diseser Vorstellung muss man sich so verabschieden, wie von der Idee, dass ein Massanzug mit Krawatte das gleiche ist wie ein T-Shirt.

Aus dem Grund gibt es in Foren so viel dumme Kommentare.

Im macOS Kernel gibt es eine sehr mächtige und auch im Moment durchaus einsetzbare und konfigurierbare Firewall, die selbst höchsten Ansprüchen genügt, nur dass ein Depp damit weder umzugehen weiss, noch durch irgendwelche Forenpostings die Kenntnisse vermittelbar sind, die dazu notwendig sind.

Für die Leute, die etwas eher Überschaubares brauchen ist die kleine Petze schon mal sehr brauchbar. Sie beschäftigt sich hauptsächlich mit ausgehenden Netzwerkverbindungen. Wer eingehende und ausgehende Netzwerkverbindungen regeln will , muss sich Kenntnisse beschaffen und Arbeit reinstecken. Das ist wie Massanzug. Aufwand.

Es gibt weder eine One-Size-fits-all Nummer, noch ein einfaches Klickedi-Klick.

Wenn du berechtigte Furcht hast, dann lies mal mein How-To bis zum aktuellen Stand und dann können wir darüber reden ob du eine Firewall brauchst und was du damit anstellen kannst.

[HJD]

Ja, ich meinte die, die man in den Systemeinstellungen aktivieren kann. Wegen der Probleme mit dem Backup auf NAS habe ich etwas im Netz gesucht. Da melden viele Nutzer, mit deaktivierter Firewall würden keine Probleme beim Backup auftreten. Daher habe ich mich gefragt, ob die nun ganz deaktiviert bleiben sollte dürfte könnte. Apple empfiehlt die Aktivierung, daher ist das für mich alles etwas widersprüchlich.

Bin noch auf das gestoßen:

Patrick Wardle, langjähriger iOS- und Mac-Sicherheitsexperte brachte seine Frustration zum Ausdruck und stellte fest, dass Apples Mangel an gründlichen Tests die Schuld daran trägt.
„Als Entwickler von macOS-Sicherheitstools ist es unglaublich frustrierend, sich immer wieder mit (verständlicherweise) verärgerten Anwendern auseinandersetzen zu müssen, die ihren Macs die Schuld an den Problemen geben, obwohl es in Wirklichkeit die ganze Zeit Apples Schuld war“, so Wardle gegenüber 9to5Mac. „Déjà vu?! Hat Apple *wieder* ein neues Betriebssystem herausgebracht, das *wieder* Sicherheitstools von Drittanbietern kaputt macht?“, fügte er in einem Beitrag auf seinem LinkedIn hinzu und bezog sich dabei auf einen Fehler in MacOS Ventura, der vor zwei Jahren ähnliche Probleme verursachte. „Die Ursache scheint entweder die macOS-Firewall selbst zu sein oder das untergeordnete Netzwerkerweiterungs-Subsystem, das „Pakete beschädigt“ oder andere „unbeabsichtigte Änderungen“ an Netzwerkstrukturen vornimmt.

Andere sicherheitsorientierte Gemeinschaften teilen ähnliche Bedenken. Der Schwachstellenforscher Will Dormann teilte in einem Blogbeitrag mit, dass DNS-Anfragen über ein Netzwerk von macOS Sequoia blockiert werden, wenn die Firewall auf „Eingehende Verbindungen blockieren“ eingestellt ist, was unerwartet DNS-Antworten einschließt. Dieses Problem gab es in früheren macOS-Versionen nicht, und es scheint ein Fehler in der aktuellen Firewall zu sein. „Jede Antwort auf eine Anfrage, die ich initiiere, sollte zugelassen werden.“

Dormann wies auch darauf hin, dass ein weiteres Problem darin besteht, dass die Firewall-GUI von Sequoia nicht korrekt mit den tatsächlichen Firewall-Regeln synchronisiert ist, was es für Benutzer schwierig macht, Einstellungen anzupassen oder zu ändern, insbesondere für diejenigen, die ältere Macs verwenden. https://9to5mac.com/2024/09/19/security ... -and-more/

[NoMan'sLand]

In macOS 15.1 unter Netzwerk > Firewall > Optionen sieht man eine ganze Reihe von "Eingehende Verbindungen erlauben", nur vier davon beziehen sich auf von mir installierte Anwendungen.

Sollen nun alle auf "Eingehende Verbindungen blockieren" umgestellt werden oder zurück zu Sonoma?

firewall-options.jpg

[Rotweinfreund]

Was ist denn das für eine Frage? Natürlich muss man zahlreichen Systemdiensten die Verbindung erlauben, um halbwegs normal nit dem Apparat arbeiten zu können.

Bitte frage mich jetzt aber nicht, was ich unter "normal" verstehe, okay?

[kate]

In macOS 15.1 unter Netzwerk > Firewall > Optionen sieht man eine ganze Reihe von "Eingehende Verbindungen erlauben", nur vier davon beziehen sich auf von mir installierte Anwendungen.

Sollen nun alle auf "Eingehende Verbindungen blockieren" umgestellt werden oder zurück zu Sonoma?

firewall-options.jpg

Das ist jetzt eine wirklich verquere Frage. Anscheinend ist die Firewall in 15.1 jetzt ziemlich wieder so wie sie sein soll und schon kommt die Frage ob man das braucht. Als ob eine Systemversion geringer die Firewall anders wäre?

Das ist schon seltsam. Verkaufst du dein Auto weil da das Profil auf den Reifen dir irgendwie nicht gefällt, kaufst das Vorgängermodell, nimmst aber die Räder mit weil die Felgen so schön sind???



Schalte die Firewall einfach aus, oder denke mal genau nach was sie tut, und wofür das für dich gut ist. Wenn du das nicht weisst, wäre es doch ganz schlau sich zu informieren oder zumindest eine Frage zu formulieren die dir selbst weiter hilft.
So, wie du das hier gestellt hast, ist es gleichwertig wie die Frage, ob man besser alle Nägel wegwerfen soll, weil man mit dem Hammer auf den Daumen gekloppt hat. Das kann niemand beantworten, weil die Frage implizite Voraussetzungen enthält, die unzutreffend sind.

Ich schreibe gerade ein Kapitel zum Thema Firewall und da gehe ich dann auf diverse Dinge ein, aber weil ich das so Sendung-mit-der-Maus artig halten will, so dass es eher verständlich wird, ohne tieferes Verständnis, dauert das noch ein bisschen. Gnade!

Mein Rat an dich: Schalte die Firewall in deinen Systemeinstellungen einfach aus, solange du zuhause hinter einem Router oder einem Modem bist.

[NoMan'sLand]

Meine Frage nur deshalb, weil ich nichts von alledem verstehe.

Also pardon, wenn sie etwas blöd daherkommt.

[kate]

Ja, ich meinte die, die man in den Systemeinstellungen aktivieren kann. Wegen der Probleme mit dem Backup auf NAS habe ich etwas im Netz gesucht. Da melden viele Nutzer, mit deaktivierter Firewall würden keine Probleme beim Backup auftreten. Daher habe ich mich gefragt, ob die nun ganz deaktiviert bleiben sollte dürfte könnte. Apple empfiehlt die Aktivierung, daher ist das für mich alles etwas widersprüchlich.
..

Naja, ehrlich gesagt würde ich auch in deinem Fall die Firewall abschalten. Ich weiss zwar nicht in welcher Art von Netzwerk du unterwegs bist, aber so, wie du dein Problem schilderst, ist es schon ein wenig so, als ob du die zwei Drähte deines Telefonanschlusses in der Hand hast und fragst welcher davon überflüssig ist, weil man Kupfer sparen kann.

Dein TM Backup auf einem Netzwerkvolume erfordert zwingend alle Protokolle des Bonjour Protokollsatzes sowie des SMB Protokolls. Diese Protokolle brauchen sowohl eine Verbindung rein, als auch raus. Wenn du eine Firewall einschaltest, die eingehende Verbindungen verhindert passiert was? Genau. Nix. Das Verfahren ist damit unmöglich.

Dazu kommt noch, dass das TM Backup bei älteren macOS etwas anders funktioniert, eine andere Struktur hat, und andere Anforderungen mitbringt.

Jetzt kann man sich natürlich hinstellen und verlangen, dass gefälligst im Standardauslieferungsfall gefälligst alle notwendigen Löcher in der Firewall sein müssen, damit dein Einsatzszenario XYZ auch funktioniert. Aber wer soll das kennen und vorhersehen?

Es ist wie mit einem Schiff. Gewisse Leckagen sind wichtig, damit das Holz feucht bleibt und nicht schrumpft. Gewisse Leckagen sind unvermeidbar, weil ja irgendwo die Antriebswelle für den Propeller durch dem Rumpf durch muss und die Wellen der Ruderanlage und dann die Löcher für den Anker und seine Kette, und noch so'n paar andere Dinge.
Dann beschweren sich Leute dass es zu nass ist. Dann wird alles dicht gemacht. Das Schiff fährt nicht mehr und lässt sich nicht steuern und alle im Inneren ersticken. Aber es ist wie gefordert super dicht.
Dann kommen andere und machen extra Löcher damit das Beladen schneller geht, beschweren sich dann aber, weil die Lenzpumpe das reinschwappende Wasser nicht mehr schafft.

Es gibt eben dein Anwendungsprofil und die von anderen. Es gibt nicht die eine Hose, die allen passt. Eine Firewall ist ein Instrument, das die Eigenschaft hat, sich sehr elastisch an Bedürfnisse anpassen zu lassen. Dafür fehlt bei dem Mechanismus vollständig die Eigenschaft der Vorhersage was genau diese Bedürfnisse denn sind. Wie beim Schiff oben.

Natürlich empfiehlt der Hersteller, dass das Ding eingeschaltet wird. Denn es hat schon mit den Basiseinstellungen eine Wirkung. Aber auch Nebenwirkungen.

[kate]

Meine Frage nur deshalb, weil ich nichts von alledem verstehe.

Also pardon, wenn sie etwas blöd daherkommt.

Ja, nee, Fragen dazu sind an sich ja nicht blöd. Ich bekomme nur Schluckauf, wenn Fragen mit unverdautem, gefährlichem Unverstandenem vermischt sind, die als Grundlage da drin sind. Du hast völlig Recht nachzufragen.

Für's erste:

In welchem Umfeld ist dein Rechner denn? Zuhause? Büro? Unterwegs in unbekannten WLANs? Oder ganz promiskuös in beliebigen Netzwerken von Freunden, Kunden, Fremden, im öffentlichen Raum?

[NoMan'sLand]

Ganz simpel: nur privat (=zuhause) mit einem Router, WLAN und nicht LAN, keine Netzwerke irgendwelcher Art, weder drinnen noch draußen.

[kate]

Ganz simpel: nur privat (=zuhause) mit einem Router, WLAN und nicht LAN, keine Netzwerke irgendwelcher Art, weder drinnen noch draußen.

In dem Fall, sollte die eingeschaltete Firewall zu Problemen für deinen Einsatz zuhause führen, einfach aus lassen. Falls alles ok ist, kann man die ein lassen, aber dabei muss man bedenken, dass in 3 Monaten vergessen ist, dass sie EIN ist Wenn danach dann ein Problem im Netz entsteht.. erinnern!!

Das ist meist das grösste Problem mit Firewalls, sie sind nicht nur anpassbar, sondern müssen eben auch angepasst werden wenn sich an der Umgebung etwas ändert. Weil aber die Firewall in den Systemeinstellungen nur bezüglich eingehender Verbindungen arbeitet und ausgehende Verbindungen ignoriert ist es in manchen Fällen eben nur die halbe Miete oder Sicherheit.

Dein Router zuhause macht allerdings genau das gleiche. Er lässt nämlich nur sehr wenige Verbindungen rein und so gut wie alle raus. Im Grunde hat also jeder bereits diese Art Firewall, sobald man hinter so einem Router oder Gateway arbeitet.
Da ist die Anzahl von Szenarien wo deine eigene Firewall irgendeinen Sinn ergibt dann recht überschaubar.

[HJD]

In meiner Firewall gibt es veraltete Einträge, die sich auch nicht mal löschen lassen. Die Programme sind nicht mal mehr auf dem Rechner. So wie dieser Eintrag:

Bildschirmfoto 2024-10-30 um 13.32.49.jpg

Lässt sich nicht editieren und auch nicht löschen.

Was diese Einträge machen, weiß ich nicht. Ich hätte da gerne Klarheit. Sicher ist ja nicht mal, ob ausschließlich die Firewall Ursache für die Störungen mit TM und NAS sind. Die meisten Einträge in Foren, die ich zu lesen bekam, besagten, dass es bei deaktivierter FW funktioniert. Einige sagen aber auch, dass es auch dann nicht funktioniert. Bei mir funktionierts auch nicht. Angeblich hat Apple auch an SMB rumgeschraubt, was eine zusätzliche Problemquelle darstellen würde. Der Clou ist ja, dass diese Probleme nach fast jedem größeren Update der vergangenen drei Jahre auftreten. Es nervt.

[NoMan'sLand]

@kate

Über die Jahre habe ich die Firewall immer eingeschaltet gelassen - einfach deswegen, weil es mir so empfohlen wurde. Aber mir ist kein Fall passiert, wo es Probleme mit dem Netz gab. Auch TM bleibt bis dato von Störungen unbehelligt.

Wenn du also meinst, die FW kann bei meinem Nutzerverhalten ruhig deaktiviert bleiben, worin liegt darin der Vorteil bzw. der Nachteil?

[kate]

@HJD

Haste mal geguckt ob das File mit den Regeln editierbar ist?

Das File liegt hier: /etc/pf.conf

Editieren geht im Terminal:
sudo nano /etc/pf.conf

In der Regel sollten nur die Standardeinstellungen existieren, die von Apple da drin stehen. Es sind sogenannte Anchors. Das beinhaltet all die Regeln, die notwendig sind, dass im Normalfall reguläre Dienste weiterhin laufen.

Wenn es darüber hinaus noch mehr Regeln gibt sollten die änderbar sein, sollte das File nicht editierbar sein, ist bei der Installation etwas schief gelaufen.

[kate]

@kate

Über die Jahre habe ich die Firewall immer eingeschaltet gelassen - einfach deswegen, weil es mir so empfohlen wurde. Aber mir ist kein Fall passiert, wo es Probleme mit dem Netz gab. Auch TM bleibt bis dato von Störungen unbehelligt.

Wenn du also meinst, die FW kann bei meinem Nutzerverhalten ruhig deaktiviert bleiben, worin liegt darin der Vorteil bzw. der Nachteil?

Der Vorteil ist, dass du beim Wechsel der Umgebung nicht daran denken musst die Firewall einzuschalten. Der Nachteil ist, dass du daran denken musst ob beim Wechsel der Umgebung ggfs. Netzwerkdienste von der Firewall abgeschirmt werden, oder manche neuen Apss, die du womöglich installierst, nicht richtig funktionieren.
Wenn du nie Probleme hattest, dann lass sie einfach ein.

[NoMan'sLand]

Ok, das ist eine klare Ansage.

Danke

[kate]

Ich will nur noch kurz darauf hinweisen, dass Apples "Firewall" in den Systemeinstellungen ein Program namens "socketfilterfw" aktiviert und das etwas ganz anderes ist als die Firewall im kernel von macOS.

Apple hat anscheinend in 15.0 etwas im Networkstack verbaselt, was auch diverse Sicherheitssoftware ausgehebelt hat. Es scheint so, dass im aktuellen 15.1 dieser Bug behoben ist. Eine Bestätigung dazu steht allerdings noch aus.

[HJD]

Müsste socketfilterfw dann nicht sichtbar sein in den Einstellungen? Bei mir ist das nicht der Fall.