Leopardin palomuuri vuotaa kuin seula?!

[roskaposti]

Palomuuri ei edes ole oletuksena päällä ja vaikka sen laittaisi, niin se vuotaa silti!

http://forums.macrumors.com/showthread.php?t=378066

[harri_tku]

Nyt voitaisiin laulaa yhdessä kaikki Big Brotherista tuttu "pumppulaulu".

- Meidän kissassa on reeeikä pohjassa...


Leopard ei tainut olla julkaisukypsä, mutta kun menivät sen lupaamaan kuun loppuun, niin huonostihan siinä kävi. Käyttisten julkaisuun taitaa sopia paremmin "We ship it, when it is ready"

T: Harri

[NOx]

Palomuuri ei edes ole oletuksena päällä ja vaikka sen laittaisi, niin se vuotaa silti!

http://forums.macrumors.com/showthread.php?t=378066

Ei nyt sentään. Niinhän se siellä artikkelin lopussakin todetaan ettei tästä nyt sellaista vaaraa ole, että joku koneelle pääsisi. On se silti totta, että kaikkea ei tarvitsisi maailmalle vastailla.

/usr/libexec/ApplicationFirewall

[matteus/2]

.. ja onneksi OS X:n markkinaosuus on niin pieni, että ketään ei kiinnosta tehdä haittaohjelmia

[hanu]

Tuota olisi ehkä kannattanut ensin testata
Omassa leopardissani on ehkä sitten vikaa, mutta palomuuri toimii.
Advanced asetuksista vielä stealth -asetus päälle, niin ei vastaa edes pingiin.

[roskaposti]

Palomuuri ei edes ole oletuksena päällä ja vaikka sen laittaisi, niin se vuotaa silti!

http://forums.macrumors.com/showthread.php?t=378066

Ei nyt sentään. Niinhän se siellä artikkelin lopussakin todetaan ettei tästä nyt sellaista vaaraa ole, että joku koneelle pääsisi. On se silti totta, että kaikkea ei tarvitsisi maailmalle vastailla.

Kyllä palomuuri silti vuotaa, vaikka vuotoa ei olisi haluttu/pystytty hyödyntämään. Applen kohtuullisen hyvä tietoturvamaine kärsii tuollaisesta mokasta.

[matteus/2]

Applen kohtuullisen hyvä tietoturvamaine kärsii tuollaisesta mokasta.

Aika huvittavaa, jos tietoturvamaine on silmissäsi vain "kohtuullinen". Voisitko kertoa, mitä tietoturvaan liittyviä, konkreettisia käytännön uhkia Mac-käyttäjällä on tällä hetkellä?

[roskaposti]

Applen kohtuullisen hyvä tietoturvamaine kärsii tuollaisesta mokasta.

Aika huvittavaa, jos tietoturvamaine on silmissäsi vain "kohtuullinen". Voisitko kertoa, mitä tietoturvaan liittyviä, konkreettisia käytännön uhkia Mac-käyttäjällä on tällä hetkellä?

Siinä lukee muuten "kohtuullisen hyvä", eikä pelkkä "kohtuullinen".

Minun ei olisi pitänyt puhua tietoturvamaineesta, vaan yleensä tietoturvasta. Sillä, että onko olemassa konkreettisia uhkia vai ei, ei niinkään ole vaikutusta järjestelmän tietoturvaan. Sen sijaan tietoturvamaine voi olla tavallisten ihmisten keskuudessa oikein hyvä, vaikka järjestelmä olisi täysin avoin kaikelle. Jos aukkoja ei hyödynnetä, niin niistä ei pidetä meteliä.

Applen ohjelmistoistaa on löytynyt vakavia tietoturvareikiä, vaikka niitä ei olekaan hyödynnetty

[sepeto]

Ompa tosi hyvä testi.. Kokeiltu palomuuria, eikä oo edes porttiskanneria käytetty testaamiseen. Aika amatöörihommaa..
Kokeilkaapa ite, kyllä tuo blokkaa..
Logi:

Oct 30 13:38:34 Sepon-iMac Firewall[39]: Allow nc listening from 0.0.0.0:8080 uid = 501 proto=6
Oct 30 13:38:40 Sepon-iMac Firewall[39]: Deny nc connecting from 192.168.10.1:52847 uid = 0 proto=6

Eli ensimmäinen logi kertoo että sallitaan.. toinen tuli porttiskannerin skannatessa, eli se plokattiin...

Porttiskannerin tulos:

PORT STATE SERVICE
6000/tcp filtered X11
8080/tcp filtered http-proxy

ps. Voisit linkittää siihen alkuperäiseen testiin, eikä mihinkään foorumille jossa siitä puhutaan. Nuo foorumin jututki näytti alkujaan olevan aika osaamattomien puhetta.

pps. Näyttää siltä, että tuo palomuuri vastaa jotenki erilain portteihin, joita kuunnellaan, mutta ovat filtteröityjä. Eli porttiskanneri saa selville kuuntelevat portit, vaikkei dataa pääsekkään liikkumaan muurin läpi.

ppps. Tutkiminen näyttää siltä, että portit joita ei kuunnella tuottavat normaalin vastauksen(Closed) ja portit, joita jokin ohjelma kuuntelee eivät tuota vastausta ollenkaan (Filtered). Ehkä tämän takia tuolla testin lopussa on virheellisesti tulkittu Open|Filtered tarkoittavan avointa porttia, vaikka se tarkoittaakin kuuntelevaa porttia, joka on filtteröity.

[jussij]

Ompa tosi hyvä testi.. Kokeiltu palomuuria, eikä oo edes porttiskanneria käytetty testaamiseen. Aika amatöörihommaa..
Kokeilkaapa ite, kyllä tuo blokkaa..
Lpuhutaan. Nuo foorumin jututki näytti alkujaan olevan aika osaamattomien puhetta.

pps. Näyttää siltä, että tuo palomuuri vastaa jotenki erilain portteihin, joita kuunnellaan, mutta pps. Tutkiminen näyttää siltä, että portit joita ei kuunnella tuottavat normaalin vastauksen(Closed) ja portit, joita jokin ohjelma kuuntelee eivät tuota vastausta ollenkaan (Filtered). Ehkä tämän takia tuolla testin lopussa on virheellisesti tulkittu Open|Filtered tarkoittavan avointa porttia, vaikka se tarkoittaakin kuuntelevaa porttia, joka on filtteröity.

-itsellä sekä kollegalla gui:sta firewall päällä, mutta rulena allow ip any to any. porttiskanneri sekä haavoittuvuuskanneri (sekä manuaaliset testaukset) löytävät portit joissa softia sekä niiltä pystyy kyselemään infoa, esim ntp (aikapalvelu) palauttaa ihan ok käyttiksen versiot, arkkitehtuurin, stratumin etc.

'joten kyllä tuo firewall vuotaa ihan oikeasti. bugi on että guin asetus ja päällä olevat asetukset ei vastaa toisiaan. en ole vielä komentoriviltä. ilmeisesti app firewall kuiteski toimii joteski.

_jussi

[spiidi78]

-itsellä sekä kollegalla gui:sta firewall päällä, mutta rulena allow ip any to any. porttiskanneri sekä haavoittuvuuskanneri (sekä manuaaliset testaukset) löytävät portit joissa softia sekä niiltä pystyy kyselemään infoa, esim ntp (aikapalvelu) palauttaa ihan ok käyttiksen versiot, arkkitehtuurin, stratumin etc.

'joten kyllä tuo firewall vuotaa ihan oikeasti. bugi on että guin asetus ja päällä olevat asetukset ei vastaa toisiaan. en ole vielä komentoriviltä

Siis häh? Sallit kaiken liikenteen ja väität, että palomuuri vuotaa?

[jussij]

-itsellä sekä kollegalla gui:sta firewall päällä, mutta rulena allow ip any to any. porttiskanneri sekä haavoittuvuuskanneri (sekä manuaaliset testaukset) löytävät portit joissa softia sekä niiltä pystyy kyselemään infoa, esim ntp (aikapalvelu) palauttaa ihan ok käyttiksen versiot, arkkitehtuurin, stratumin etc.

'joten kyllä tuo firewall vuotaa ihan oikeasti. bugi on että guin asetus ja päällä olevat asetukset ei vastaa toisiaan. en ole vielä komentoriviltä

Siis häh? Sallit kaiken liikenteen ja väität, että palomuuri vuotaa?

-luepas postaukseni uudelleen. tarvittaessa kahdesti.

postauksessani kerron että gui:ssa on päällä (block all incoming traffic), mutta kun katson efektiivistä rulesettiä komentoriviltä niin se on käytännössä "allow all traffic". tämä meinaa sitä että leopardin firewallin kontrollissa gui vs cli on bugi joka meinaa että ne ei ole synkassa.
eli siis gui luo virheellisen kuvan firewallin toiminnasta.

_jussi

[spiidi78]

postauksessani kerron että gui:ssa on päällä (block all incoming traffic), mutta kun katson efektiivistä rulesettiä komentoriviltä niin se on käytännössä "allow all traffic". tämä meinaa sitä että leopardin firewallin kontrollissa gui vs cli on bugi joka meinaa että ne ei ole synkassa.
eli siis gui luo virheellisen kuvan firewallin toiminnasta.

_jussi

Ah sorge. Huomasin saman itsekin, mutta olenkohan ymmärtänyt oikein, että Leopardin GUI palomuuri ei ole sidoksissa enää ipfw? GUI firewallin logista kuitenkin näkee että deny-tapahtumia tulee blokin ollessa päällä. Tietty jos sait informaatiota blockauksen ollessa päällä, se vuotaa. Pitääpi lukea hieman paremmin tuo juttu itsekin

[jussij]

[Huomasin saman itsekin, mutta olenkohan ymmärtänyt oikein, että Leopardin GUI palomuuri ei ole sidoksissa enää ipfw? GUI firewallin logista kuitenkin näkee että deny-tapahtumia tulee blokin ollessa päällä

-jup, niin tulee. mutta se ihmetyttää että miten sitten protokollatasolla pääsee kiinni noihin palveluihin vaikka block all incoming on päällä. (eli saan bannerin vaikkapa ssh:sta tai ntp:ltä voi kysellä informaatiota). voi olla joku ipfw liitännäinen bugi varmaan, riippuen missä fw hookit on.

anyways, tuo gui vs cli mismatch noissa aiheuttaa varmasti hämäännystä käyttäjäkunnassa.

[spiidi78]

-jup, niin tulee. mutta se ihmetyttää että miten sitten protokollatasolla pääsee kiinni noihin palveluihin vaikka block all incoming on päällä. (eli saan bannerin vaikkapa ssh:sta tai ntp:ltä voi kysellä informaatiota). voi olla joku ipfw liitännäinen bugi varmaan, riippuen missä fw hookit on.

anyways, tuo gui vs cli mismatch noissa aiheuttaa varmasti hämäännystä käyttäjäkunnassa.

Kyllä näin on. Jäämme odottelemaan tietoturvapäivitystä

[sepeto]

Uusi kokeilu..
Edellinen oli siis asetuksella "Estä kaikki saapuvat..."

Nyt kokeilin "Määrittele pääsy..."
Lista on tyhjä, koska mitään palveluita ei ole päällä..
Loputulos sama, kuin tuolla testissä, eli netcatillä avattuun porttiin pääsi toiselta koneelta yhdistämään.

Oct 30 14:13:53 Sepon-iMac Firewall[39]: Allow nc listening from 0.0.0.0:8080 uid = 501 proto=6
Oct 30 14:14:14 Sepon-iMac Firewall[39]: Allow nc connecting from 192.168.10.1:60049 uid = 0 proto=6

Eli ilmeisesti tuo Määrittele pääsy ei vielä tarkoita että palomuuri olisi päällä.. Mutta.. On tuo kyllä virhe..

Silti tuo "Estä kaikki" estää mieletäni kaikki ja siinä artikkelissa on vain tulkittu tuloksia väärin.

Users who want to raise their security level might choose the option "Block all incoming connections" - in the hope that this really will reject all incoming queries to network services.

The initial tests looked promising. The SSH server activated for testing purposes and the primitive demo backdoor could no longer be accessed from outside. The firewall even blocked access to a test server on a UDP port:
...
However, a simple port scan was enough to destroy our misplaced optimism:

# nmap -sU 192.168.69.21
PORT STATE SERVICE
123/udp open|filtered ntp
...

Tuossa ei selvästikkään olla ymmärretty, että UDP protokolla ei tuota mitään vastauspakettia porteille, jotka ovat avoinna, koska UDP on yhteydeton protokolla ts. vastauspaketteja ei lähetetä. Suljetuille sen sijaan vastataan ICMP-virheviestillä. Tuo open|filtered selviää tarkemmin NMAPin manuaalista.


Jos joku ei nyt huomannut, mitä tarkoitin nuilla Open ja Closed ja Filtered hommilla, niin TCP-protokollassa yhteys avataan kolmevaiheisella kättelyllä:
Vaihe 1: paketissa on S (Syn) lippu päällä. Tämä on yhteyden avauspyyntö.
Vaihe 2: Vastauspaketissa on A (Ack) lippu päällä, jos yhteys hyväksytään, jos ei hyväksytä(eli mikään ohjelma ei kuuntele porttia) lähetetään vastauspaketti, jossa on RST-lippu(Reset), eli yhteys katkeaa.
Vaihe 3: Yhteyden avaaja lähettää kuittauksena paketin, jossa on SA liput. Nyt yhteys on avattu.

Yleensä palomuuri siis hylkää paketit ilman vastausta, mutta mielestäni näyttää, että tämä palomuuri vastaa portteihin, joita ei kuunnella, tuolla RST-lipulla ja filtteröidyt portit se hylkää suoraan, eli vastausta ei tule.
Nyt siis porttiskannerilla voidaan nähdä, että kaikki portit ovat suljettua(RST-vastaus) paitse portit, joissa on palvelu(Ei vastuasta->filtered). Eli muuri ei varsinaisesti vuoda, ainakaan tuossa Estä kaikki tilassa.

EDIT: alkuperäinen artikkeli oli siis http://www.heise-security.co.uk/articles/98120

[kallekilponen]

Tuota olisi ehkä kannattanut ensin testata
Omassa leopardissani on ehkä sitten vikaa, mutta palomuuri toimii.
Advanced asetuksista vielä stealth -asetus päälle, niin ei vastaa edes pingiin.

Niin sitä luulisi, mutta ilmeisesti se antaa esim bonjourin vastata kyselyihin...