LuLu: Open-Source-Firewall für macOS in Version 3.0.0 erschienen
von caschy | 17 Kommentare
LuLu ist eine kostenlose und quelloffene Firewall-Anwendung für macOS, die entwickelt wurde, um ausgehenden Netzwerkverkehr zu überwachen und zu blockieren. Wir hatten sie euch bereits in der Vergangenheit mehrere Male vorgestellt.
Sie hilft Benutzern dabei, zu kontrollieren, welche Anwendungen auf ihrem Mac eine Verbindung zum Internet herstellen dürfen. LuLu bietet eine – meiner Meinung nach – benutzerfreundliche Oberfläche, um Regeln für den Netzwerkzugriff zu erstellen und zu verwalten, und ist besonders nützlich, um potenziell unerwünschte Verbindungen zu verhindern und die Privatsphäre zu schützen.
Nun ist die Version 3.0.0 erschienen, wobei die Neuerungen übersichtlich sind. Es gibt Unterstützung für Lokalisierungen und eine aktualisierte Dokumentation. Ebenso gibt es nun die Unterstützung für Regeln mit Ablaufdatum, sprich: Ihr könnt Regeln für einen gewissen Zeitraum erstellen.
Zu guter Letzt: es gibt eine neue Benutzeroberfläche für Warnungen (einfacher/detaillierter Modus) sowie neue Modi wie einen passiven Modus. Nutzer von Lulu müssen mal schauen: Der integrierte Updater schlug zumindest bei mir nicht an. Nutzer von Sequoia müssen bedenken, nach der Aktualisierung die Netzwerkerweiterungen zu aktivieren (Systemeinstellungen > Allgemein > Anmeldeobjekte und Erweiterungen > Erweiterungen > Netzwerkerweiterungen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
LuLu läuft auf meinem Mac nachdem Little Snitch den Geist aufgegeben hat. Ein tolles Tool – auch wenn man einfach nur mal erfahren möchte, welche Applikationen versuchen aufs Web zuzugreifen, von denen man meinen sollte, dass sowas nicht nötig sei (abseits von Update Checks). In meinem Fall weist LuLu Version 2.6.3 aber noch als die Neuste aus.
Little Snitch hat mir immer nicht gefallen, weil die einfach so endlos viel messen nebenher und das ein Ressourcen-Fresser ohne Ende ist, im Hintergrund.
Bei mir reduziert das Teil die Geschwindigkeit des Netzwerkverkehrs um einiges. Lieder. Finde ich eigentlich gut, aber die Abstriche sind mir zu krass, um es zu nutzen.
Mit was gemessen?
Dem Terminal Test von MacOS und einige Web-Tools. Nichts super genaues. Aber es gibt auch einfach einen spürbaren Delay. Ist bei der Firewall von MacOS aber auch so, wie einige Entwickler schon in ihren Blogs berichten. Wenn die an ist, verzögert sich der Connect spürbar.
Kein Link zur Webseite?
Ach, sorry! Nun drin.
Kennt jemand eine ähnliche Lösung die aber auf einem Linux Server installiert werden kann und das ganze Netzwerk überwacht? Am besten mit einer benutzerfreundlichen Oberfläche. Entweder als App oder über den Browser.
Dafür kannst du jede X-beliebige Hardware-Firewall nutzen (gibt es von Zyxel, Sophos, Ubiquiti, etc.). Oder eben selbst bauen. Besorg dir einen halbwegs potenten Mini-PC mit zwei NICs, darauf installierst du OPNsense, pfSense, o.ä. und geht über den einen Port vom Modem rein und zum anderen Port in deinen Switch.
Danke dir.
Schaue ich mir mal an.
Sieht man dort dann auch welches Gerät in welche Region auf der Welt gerade Daten sendet? Habe das in Avast Security auf meinem Mac, zeigt aber eben nur die Verbindungen vom Mac ab. Wäre ganz nett für das ganze Netzwerk.
Du kannst sehen welches Gerät welchen Traffic generiert bei Ubiquiti. Das funktioniert, ist aber auch nur in begrenztem Umfang möglich.
Auf der einen Seite muss die Firewall wissen um welche Applikation/Gegenseite es sich handelt, auf der anderen Seite ist sämtlicher verschlüsselter Traffic ein schwarzes Loch, was erstmal nur als SSL Traffic angesehen werden kann.
Wenn die Gegenseite dann via DNS bekannt ist, kann man noch halbwegs eine Zuordnung treffen. (Wie zum Beispiel Google.com)
Ubiquiti hält das Ganze erstmal ziemlich einfach (Für zuhause aber durchaus gut) und gibt einen ungefähren Einblick darüber, was die Clients so versuchen zu machen.
https://ibb.co/Sy874Qw
Allerdings ist das wie schon geschrieben nur eine grobe Aufschlüsselung aber deutlich mehr als zum Beispiel die Fritz Box liefert. Auch kann man komplette Länder sperren, Applikationsbaiserte Regeln anlegen aber man muss sich darüber bewusst sein, dass soetwas mit einer gewissen Unschärfe betrachtet werden muss. Gerade die Zuordnung IP zu Land ist halbwegs genau aber es kann auch mal Fehler geben, die das Ganze dann ins Leere laufen lassen.
OPNsense, pfsense wie DrRubi schon gescrheiben hat, liefern da deutlich mehr Optionen aber man muss sich auch mehr reinarbeiten und wird nicht unbedingt an die Hand genommen.
Persönlich bin ich zuhause von den beiden weggegangen einfach weil ich meinen Job nicht nachhause tragen wollte und habe mich deswegen für Ubiquiti entschieden.
Ich habe früher LittleSnitch genutzt. Interessant ist ja, mal zu sehen, welche Software sich wohin verbinden möchte. Aber mal ehrlich, wenn man da restriktiv rangeht funktioniert einfach vieles nicht mehr. Inkl. „komischer Effekte“ wo man sich dann tot sucht… Und auch die Information wer sich wohin verbindet ist eher wenig hilfreich weil man trotzdem nicht unbedingt weiß warum und was da genau passiert… Mir war das am Ende einfach zu nervig weil teilweise mehr mit irgendwelchen Netzwerkverbindungen beschäftigt war als mit dem was ich eigentlich machen wollte…
Ja… aber… gewisse Programme telefonieren nach Hause. Kannst du damit einfach kappen und unterbinden. Warum sollte das Grafikprogramm nach Hause telefonieren oder der Code Editor?
Update Checks, Registrierung, Abo….
Damit meine ich auch eher TElemetrie. Aber ist okay, lass deine Verbindungen mal offen.
Mit Little Snitch oder Lulu kann man auch Programmen bspw. die Auto-Updates abgewöhnen, die das nicht in ihren Einstellungen mit sich machen lassen (meine Lieblingsbeispiele dafür sind Busy Cal und Busy Contacts, die auch anderweitig sehr viel nach draußen telefonieren, was ich ebenfalls unterbinde). Damit lässt sich dann z. B. die vollständige Update-Pflege aller GUI-Applikationen auch über Homebrew realisieren (unter Zuhilfename der Homebrew-Erweiterung ‚Buo Cask Upgrade‘). Und es ist eine wirklich feine Sache, über 60 Programme auf einen Schlag in der Kommandozeile updaten zu können. 😉
Nutzt man Programme wie Busy Cal und Busy Contacts nach Ablauf der bezahlten Update-Phase weiter, so versuchen diese, sich ständig nach Hause zu verbinden, um im Anschluss mit nervigen Nag-Screens an einen Neukauf zu erinnern. Auch das lässt sich mit der Firewall prima unterbinden, was den Betrieb dieser Programme deutlich angenehmer macht.
Des Weiteren nutze ich ein von meinem Arbeitgeber bereitgestelltes Office 365. Da ich die Cloud-Funktionen von Word, PowerPoint und Excel nicht benötige, verbiete ich diesen drei Programmen einfach jeglichen Internetzugriff. Fazit: Die verbinden sich zwar alle paar Sekunden mit irgendeinem Server, benötigen das aber nicht wirklich, um in meinem Sinne zu funktionieren.
Auch ein Firefox zieht viele meines Erachtens unnötige Verbindungen auf, bspw. für Telemetrie zu incoming.telemetry.mozilla.org und telemetry-incoming.r53-2.services.mozilla.com sowie für Werbung zu prod.ads.prod.webservices.mozgcp.net und tiles-cdn.prod.ads.prod.webservices.mozgcp.net. Bei mir allerdings nicht. 😉
Das sind nur vier Beispiele dafür, die verdeutlichen, warum für mich Little Snitch oder Lulu im Hinblick auf Applikationen dasselbe sind wie Werbeblocker im Hinblick auf mit Werbung überbordende Webseiten. Man sollte natürlich ein wenig Ahnung davon haben, was man da blockiert. Das Wissen entwickelt sich nach meiner Erfahrung aber mit der Zeit. Wirklich „komischer Effekte“, bei denen man sich dann zu Tode sucht, gibt es bei einer vorsichtigen Herangehensweise meines Erachtens aber nicht.
Die Software von Objective See ist funktional wirklich toll – erst recht für kostenfrei verfügbar. Leider muss man als Gegenleistung die konstant eigenartig hässlich gestalteten UIs ertragen.