Mit dem Aufstellen und Anordnen der Regeln endet in dieser Folge die Beschreibung von Paketfiltern, außerdem werden die Vor- und Nachteile eines Paketfilters beschrieben. Anschließend lernen Sie Application Level Gateways kennen.

Filterregeln

Bei den Regeln für Paketfilter gibt es zwei Ansätze: Entweder es wird alles erlaubt und nur potenziell gefährliche Pakete werden ausgefiltert (Default allow), oder es wird alles verboten und nur die gewünschten Pakete werden durchgeleitet (Default deny). Wie meistens, ist der Default-deny-Ansatz die bessere Wahl. Nur so kann garantiert werden, dass keine Filterregel für unerwünschte Pakete vergessen wurde. Außerdem ist es weitaus einfacher, eine relativ kurze Liste erwünschter Pakete zu verwalten als eine lange Liste potenziell gefährlicher. Im einfachsten Fall (ein Webserver, davor ein Paketfilter, keine weiteren Server oder Clients im lokalen Netz) kommt man mit den drei Regeln aus dem ersten Beispiel (siehe About Security #29) aus: HTTP-Verbindungen sind erlaubt, alles andere ist verboten.

Reihenfolge der Regeln

Die Regeln werden in der Reihenfolge angewendet, in der sie angegeben wurden. Sobald eine Regel auf das aktuelle Paket zutrifft, wird sie angewendet und eventuell vorhandene weitere passende Regeln kommen nicht mehr zum Zug. Daher muss beim Aufstellen der Regeln besonders auf die richtige Reihenfolge geachtet werden: Steht eine allgemeine Regel vor einer speziellen, wird die spezielle Regel nie angewendet.

Ein Beispiel

Der Rechner mit der IP-Adresse a.b.c.d hat das Nachsehen: Auf seine Pakete wird die erste passende Regel angewendet und die Pakete werden verworfen.

Vor- und Nachteile von Paketfiltern

Vorteile und Besonderheiten von Paketfiltern

• Paketfilter arbeiten transparent, d.h. sie sind für Benutzer und beteiligte Rechner unsichtbar und arbeiten ohne deren aktive Mitarbeit.
• Sie sind leicht für neue Protokolle und Dienste erweiterbar.
• Sie sind nicht an bestimmte Protokollfamilien gebunden, sondern flexibel verwendbar.
• Durch den relativ einfachen Aufbau bieten sie eine hohe Performance und sind leicht realisierbar.

Nachteile und Grenzen von Paketfiltern

• Daten oberhalb der Transportschicht werden nicht analysiert.
• Paketfilter bieten keine Sicherheit auf der Anwendungsschicht: Angriffe auf einen freigegebenen Port sind möglich.
• Sie bieten keinen Schutz vor Schadprogrammen, die aus dem lokalen Netz eine Verbindung nach außen aufbauen.
• Die Struktur des internen Netzes wird nicht verborgen.
• Logfiles (dazu in einem späteren Feature mehr) enthalten nur Informationen bis zur Transportschicht.

Zustandsorientierte Paketfilter analysieren auch die Daten der Anwendungsschicht, daher treffen die obigen Punkte für sie nur teilweise zu.

Vorteile und Besonderheiten zustandsorientierter Paketfilter

• Auch zustandsorientierte Paketfilter arbeiten transparent.
• Sie sind leicht für neue Protokolle und Dienste erweiterbar.
• Sie sind nicht an bestimmte Protokollfamilien gebunden.

Nachteile und Grenzen zustandsorientierter Paketfilter

• Aufgrund der zusätzlichen Analysen sind sie deutlich komplexer als zustandslose Paketfilter. Ihre Performance ist dadurch geringer und sie sind schwieriger zu realisieren.
• Sie bieten keinen Schutz vor Schadprogrammen, die aus dem lokalen Netz eine Verbindung nach außen aufbauen.
• Die Struktur des internen Netzes wird nicht verborgen.

Damit wird das Thema "Paketfilter" vorerst abgeschlossen. Bei Bedarf wird später noch einmal auf Details eingegangen.

Application Level Gateway

Wie der Name schon sagt, arbeiten Application Level Gateways auf der Anwendungsschicht des TCP/IP-Schichtenmodells. So genannte Dual-homed Gateways mit zwei Netzwerkanschlüssen entkoppeln die angeschlossenen Netze sowohl logisch als auch physikalisch. Ein Application Level Gateway kann auch als Single-homed Gateway mit nur einem Netzwerkanschluss realisiert werden. Dann besteht jedoch die Gefahr, dass ein Angreifer die Schutzfunktion umgeht.

Das Application Level Gateway empfängt über einen seiner TCP/IP-Stacks Pakete, die bis zur Anwendungsschicht normal verarbeitet werden. Auf der Anwendungsschicht sorgt eine spezielle Software für die Übertragung zum zweiten TCP/IP-Stack. Diese Software wird als Proxy (Stellvertreter) bezeichnet, da es aus Sicht der jeweiligen Kommunikationspartner so aussieht, als würden sie mit dem Proxy kommunizieren. Für jedes Protokoll der Anwendungsschicht, das das Application Level Gateway verarbeitet, ist ein eigener Proxy zuständig. Protokolle, für die kein Proxy vorhanden ist, können das Gateway nicht passieren.

Das Application Level Gateway hat die vollständige Kontrolle über alle zwischen dem zu schützenden und dem unsicheren Netzwerk übertragenen Pakete. Seine Funktionsweise wird in der nächsten Folge näher betrachtet.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"

• About Security #29: Die Firewall – Grundlagen
• About Security #30: Die Firewall – Paketfilter
• About Security #31: Die Firewall – FTP-Verbindungen
• About Security #32: Die Firewall – Application Level Gateway
• About Security #33: Die Firewall – Application Level Proxies
• About Security #34: Die Firewall – Circuit Level Proxies
• About Security #35: Die Firewall – Zusammenspiel der Komponenten
• About Security #36: Die Firewall – Demilitarisierte Zone