M 2.74 Geeignete Auswahl eines Paket-Filters
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Paket-Filter sind Router oder Rechner mit spezieller Software, welche die in
den Schichten drei und vier der TCP/IP Protokollfamilie (IP, ICMP, ARP, TCP und
UDP) vorhandenen Informationen zum Filtern der Pakete benutzen. Hierzu werden
Access- und Deny-Listen benutzt.
Sollte ein Paket-Filter für eine Firewall benötigt werden, so sind bei der
Beschaffung folgende Forderungen zu stellen:
- Die Filterung muß getrennt für jedes Interface möglich sein.
- Eine Filterung muß getrennt für kommende und gehende Pakete möglich
sein.
- Die Filterung muß getrennt nach Quell- und Zieladresse für einzelne Rechner
oder für komplette Teilnetze möglich sein.
- Die Filterung muß getrennt nach Quell- und Zielport möglich sein.
- Die Reihenfolge der Abarbeitung der Filterregeln darf nicht automatisch vom
Paket-Filter verändert werden.
- Die Reihenfolge der Abarbeitung der Filterregeln sollte klar ersichtlich,
d. h. ausreichend dokumentiert, sein.
- Die Eingabe und Kontrolle der Filterregeln muß einfach und übersichtlich
sein, z. B. durch symbolische Angabe von Dienst- und Protokollnamen.
- Bei TCP-Paketen muß eine Unterscheidung, ob eine bestehende Verbindung
benutzt wird oder ein Verbindungsaufbau stattfindet, d. h. eine Unterscheidung
zwischen ACK und ACK-losen Paketen, möglich sein.
- Die Protokollierung von IP-Nummer, Dienst, Zeit und Datum für jedes Paket
muß durchführbar sein, wobei auch Einschränkungen auf bestimmte Pakete (z. B.
nur Pakete mit einer speziellen Quell-Adresse) möglich sein müssen.
- Sämtliche Protokollinformationen müssen an einen externen Host geschickt
werden können.
- Spezielle, einstellbare Ereignisse müssen zu einer unverzüglichen Warnung
führen (z.B. mehrfache fehlerhafte Authentisierungsversuche).
- Es muß möglich sein, statische Routingtabellen zu benutzen.
- Im Falle, daß ein Router als Paket-Filter eingesetzt wird, muß es möglich
sein, statische Routingtabellen zu benutzen. Es sei aber darauf hingewiesen,
daß Router in der Regel nicht als Paket-Filter eingesetzt werden sollten, da
sie einen sehr umfangreichen Funktionsumfang haben und somit die
Filtereigenschaften oftmals nur als Add-on angeboten werden - mit
entsprechenden Konsequenzen bei der Erstellung und Prüfung der entsprechenden
Software.
- Im Falle, daß ein Router als Packet Filter eingesetzt wird, muß das
dynamische Routing so konfigurierbar sein, daß Routing-Pakete (z. B. RIP), die
das zu schützende Netz betreffen, nur an dem Interface zugelassen werden, das
auch mit dem zu schützenden Netz verbunden ist.
- Pakete mit Source-Routing Informationen müssen standardmäßig verworfen
werden können.
- Der Paket-Filter sollte ggf. eine dynamische Paket-Filterung unterstützen.
D. h., daß z. B. bei der Übertragung von UDP-Paketen der entsprechende Kontext
für eine gewisse Zeitspanne gespeichert wird und die zugehörigen Antwortpakete
hindurchgelassen werden.
Dynamische Filter
Ausgehend von der Definition für einen Paket-Filter als Filter, der die
Informationen der Schichten drei und vier zur Kontrolle verwendet, zeigen sich
sehr schnell die Grenzen dieses Verfahrens. Während bei TCP (Transmission
Control Protocol) eine Möglichkeit besteht, einen Verbindungsaufbau zu erkennen
und dadurch Verbindungen vom Internet in das zu schützende Netz zu verbieten,
geht dies bei UDP (User Datagram Protocol) nicht mehr. Als Lösung für dieses
Problem werden dynamische Paket-Filter eingesetzt. Wird ein UDP-Paket
vom internen Rechner z. B. zu einem DNS-Server im Internet geschickt, so
speichert der dynamische Paket-Filter die Daten (Quell- und Zieladresse, Quell-
und Zielport) und erzeugt eine neue Erlaubnisregel für die Antwortpakete. Diese
Regel ist nur für eine gewisse einstellbare Zeitspanne gültig. Kommen keine
Antwortpakete, wird sie wieder gelöscht.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.