M 2.74 Geeignete Auswahl eines Paketfilters
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Funktionen eines Sicherheitsgateways auf Transport- und Netzwerkebene werden von den so genannten Paketfiltern übernommen. Aufgabe eines Paketfilters ist es, Datenpakete anhand der Informationen in den Header-Daten der UDP/IP- bzw. TCP/IP-Schicht (z. B. IP-Adresse und Portnummer) zu verarbeiten. Diese Entscheidung trifft der Paketfilter anhand den vom Administrator vorgegebenen Filterregeln. Vielfach bieten die Paketfilter auch eine Möglichkeit zur "Network Address Translation" (NAT), bei der die Absender-Adressen von IP-Paketen durch eine IP-Adresse des Paketfilters ersetzt wird. Dadurch wird die Netzstruktur des zu schützenden Netzes verdeckt.
Die Filterregeln werden für jedes eintreffende Datenpaket sequentiell abgearbeitet. Sobald eine Regel auf ein Paket zutrifft, bricht in der Regel die Überprüfung ab und die betreffende Regel wird auf dieses Paket angewendet.
Paketfilter lassen sich anhand der Filtermöglichkeiten weiter unterteilen.
Statische Paketfilter
Paketfilter, die eine Entscheidung anhand der Header-Daten der UDP/IP- und TCP/IP-Schichten (z. B. anhand der IP-Quelladresse, der IP-Zieladresse und der TCP-Flags) treffen, werden statische Paketfilter genannt.
Dynamische Paketfilter/Stateful Inspection
Dynamische Paketfilter (oder auch Paketfilter mit "Stateful Inspection" genannt) erweitern die Funktionalität der statischen Paketfilter um die Möglichkeit zur Betrachtung des Kommunikationkontextes. Dynamische Paketfilter können auch bei verbindungslosen Protokollen (wie z. B. UDP) eine Entscheidung treffen, ob ein eintreffendes Paket die Antwort auf eine Anfrage ist oder ob dieses Paket zu einer Kommunikationsinitiierung gehört. Zudem ist es möglich, Dienste sicher bereitzustellen, die nicht mit festen Portnummern verbunden sind, da auch hier Pakete unabhängig von Portnummern immer dann weitergeleitet werden, wenn es vorher eine passende Anfrage aus dem vertrauenswürdigen Netz gab.
Ein dynamischer Paketfilter speichert für eine bestimmte Zeitspanne die Quell-IP-Adresse und die Quell-Portnummer ausgehender Pakete. Eintreffende IP-Pakete werden nur dann weitergeleitet, wenn deren Ziel-IP-Adresse und Ziel-Portnummern noch im Speicher vorhanden sind, das heißt, wenn vorher eine Anfrage vom vertrauenswürdigen Netz aus gestartet wurde und die festgelegte Wartezeit noch nicht überschritten wurde.
Paketfilter mit Stateful Inspection stellen zudem meist die Möglichkeit zur Betrachtung der übertragenen Daten auf der Anwendungsebene bereit.
Realisierungsformen von Paketfiltern
1 Einrichtung eines Rechners als Paketfilter unter Nutzung eines Betriebssystems, das die notwendigen Funktionalitäten bereitstellt
|
|
Tabelle 1: Einrichten eines Rechners als Paketfilter
2 Einrichtung von Filterregeln auf einem Router
|
|
Tabelle 2: Vor- und Nachteile der Einrichtung von Filterregeln auf einem Router
3 Verwendung einer Appliance
|
|
Tabelle 3: Verwndung einer Appliance
Anforderungen an Paketfilter
Bei allen drei Realisierungsformen lässt sich gegebenenfalls die Paketfilterkonfiguration aus den Einstellungen eines eventuell vorhandenen ALGs automatisch ableiten. Dies besitzt zum einen den Vorteil des geringen Konfigurationsaufwandes, zum anderen den Nachteil der geringeren Sicherheit, da eine Fehlkonfiguration des ALGs automatisch eine Fehlkonfiguration des Paketfilters bewirkt.
Vor der Beschaffung sollte überprüft werden, welche der folgenden Anforderungen das ALG erfüllt. Je nach Anwendungszusammenhang kann dabei auf einige Anforderungen verzichtet werden, d. h. es muss eine Bewertung der aufgelisteten Anforderungen im Anwendungszusammenhang erfolgen.
Folgende Möglichkeiten sollten vom Paketfilter unterstützt werden:
Weiterleiten oder Verwerfen von Paketen anhand
- der Quell-IP- und Ziel-IP-Adresse einzelner Rechner oder Netze
- des Quell- und Zielports
- des ICMP-Typs
- aller TCP-Flags (URG, ACK, PSH, RST, SYN, FIN). Mit Hilfe des ACK-Bits kann beispielsweise zwischen Paketen zum Verbindungsaufbau und Paketen im Rahmen einer etablierten Verbindung unterschieden werden. Durch Kontrolle der anderen Bits können IP-Pakete mit unsinnigen Kombinationen von TCP-Flags abgelehnt werden
- der IP-Optionen.
Unterstützung der Aktionen
- Weiterleiten des Pakets ("allow")
- Verwerfen des Pakets ("deny & drop")
- Verwerfen des Pakets und Meldung an den Absender ("deny & reject")
- Erstellung von Filterregeln getrennt für jede Schnittstelle des Paketfilters
- Getrennte Filterung kommender und gehender Pakete
- Unveränderbare Festlegung der Reihenfolge zur Abarbeitung der Filterregeln
- Protokollierung von IP-Adresse, Dienst, Zeit und Datum für jedes Paket, aber auch eingeschränkt auf bestimmte Pakete
- Im Falle, dass ein Router als Paketfilter eingesetzt wird, muss das dynamische Routing so konfigurierbar sein, dass Routing-Pakete (z. B. RIP), die das zu schützende Netz betreffen, nur an dem Interface zugelassen werden, das auch mit dem zu schützenden Netz verbunden ist.
- Schutz vor IP-Spoofing
Falls nur ein Paketfilter ohne ALG als Sicherheitsgateway eingesetzt wird, müssen zusätzlich folgende Funktionen unterstützt werden:
- Port-Forwarding (auch oft "Destination NAT" genannt)
Network Address Translation (NAT). Auch Unterstützung für:
- Ersetzen der IP-ID
- Ersetzen der TTL
- Stateful Inspection
Die Anforderungen an den Paketfilter und die Gründe, die für die getroffene Auswahl ausschlaggebend waren, sollten nachvollziehbar dokumentiert werden.
Ergänzende Kontrollfragen:
- Welche Anforderungen an den Paketfilter wurden festgelegt?
- Welche Formen von Paketfiltern (Rechner, Router, Appliance) werden eingesetzt? Sind die Gründe für die Auswahl dokumentiert?
Stand: Stand 2005