Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen der unteren Schichten des OSI- Modells filtern und entsprechend spezieller Regeln Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete Auswahl eines Paketfilters).
Die Konfiguration eines Paketfilters, der zum Schutz von Internetservern eingesetzt wird, sollte sehr restriktiv sein, um die Widerstandsfähigkeit gegen Angriffe zu maximieren. Zwar sollte ein gut konfigurierter Internetserver (siehe M 4.95 ) sich selbst vor Angriffen schützen können, jedoch ist die Software eines Internetservers viel komplexer und fehleranfälliger als die eines auf Sicherheit konzipierten Paketfilters. Der Paketfilter sollte nur diejenigen Kommunikationskanäle durchlassen, die für die Funktion der Internetserver notwendig sind. Insbesondere ist nicht nur die Kommunikation zu kontrollieren, die vom Internet zum Internetserver initiiert wird, sondern auch die Kommunikation, die der Internetserver zum Internet hin aufbauen darf. Für viele Angriffe ist es eine notwendige Voraussetzung, daß der angegriffene Rechner neue Verbindungen zum Internet hin aufbauen kann. Ist dies nicht möglich, so sind auch viele Angriffe nicht erfolgreich. So war 1997 ein Angriff auf News-Server sehr "beliebt", bei dem sich der Angreifer über einen Fehler in einem News-Daemon per E-Mail wichtige Systeminformationen zuschicken lassen konnte. Hätten die angegriffenen Rechner nicht die Berechtigung zum Verschicken von E-Mails gehabt, so hätte der Angreifer auch keine Rückmeldung bekommen. Der Angriff wäre nicht erfolgreich gewesen.
Im folgenden werden einige Beispiele für die Konfiguration von Paketfiltern für verschiedene Internetserver dargestellt.
Internet darf auf Port 80 des WWW-Servers TCP
WWW-Server darf ins Internet von Port 80 TCP/ack, sonst nichts!
Newsfeed-Server dürfen auf Port 119 des News-Servers TCP
News-Server darf von Port 119 auf Newsfeed-Server TCP/ack
News-Server darf auf Port 119 der Newsfeed-Server TCP
Newsfeed-Server dürfen von Port 119 auf den News-Server TCP/ack
E-Mail-Server des Providers darf auf Port 25 des E-Mail-Servers TCP
E-Mail-Server darf von Port 25 auf E-Mail-Server des Providers TCP/ack
E-Mail-Server darf auf Port 25 des E-Mail-Servers des Providers TCP
E-Mail-Server des Providers darf von Port 25 auf E-Mail-Server TCP/ack
Internet darf auf Port 25 des E-Mail-Servers TCP
E-Mail-Server darf von Port 25 ins Internet TCP/ack
E-Mail-Server darf auf Port 25 im Internet TCP
Internet darf von Port 25 auf den E-Mail-Server TCP/ack
Werden nur diese Regeln implementiert, ist eine Kommunikationsaufnahme aus dem Internet nur auf die freigegebenen Dienste beschränkt. Können zusätzlich die Kommunikationspartner noch weiter eingeschränkt werden (siehe obige Beispiele 2 und 3), so kann ein Angreifer gar keine direkte Verbindung zu dem Internetserver aufbauen.
Hinweis: Obige Regeln können bewirken, daß der Internetserver nicht von jedem Rechner aus erreicht werden kann, da ICMP nicht durchgelassen wird. Deshalb empfiehlt es sich, den ICMP Subtype icmp unreachable vom Internet hin zum Internetserver durchzulassen.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.