Bundesamt für Sicherheit in der Informationstechnik

M 2.74 Geeignete Auswahl eines Paketfilters

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Funktionen eines Sicherheitsgateways auf Transport- und Netzwerkebene werden von den so genannten Paketfiltern übernommen. Aufgabe eines Paketfilters ist es, Datenpakete anhand der Informationen in den Header-Daten der UDP/IP- bzw. TCP/IP-Schicht (z. B. IP-Adresse und Portnummer) zu verarbeiten. Diese Entscheidung trifft der Paketfilter anhand den vom Administrator vorgegebenen Filterregeln. Vielfach bieten die Paketfilter auch eine Möglichkeit zur "Network Address Translation" (NAT), bei der die Absender-Adressen von IP-Paketen durch eine IP-Adresse des Paketfilters ersetzt wird. Dadurch wird die Netzstruktur des zu schützenden Netzes verdeckt.

Die Filterregeln werden für jedes eintreffende Datenpaket sequentiell abgearbeitet. Sobald eine Regel auf ein Paket zutrifft, bricht in der Regel die Überprüfung ab und die betreffende Regel wird auf dieses Paket angewendet.

Paketfilter lassen sich anhand der Filtermöglichkeiten weiter unterteilen.

Statische Paketfilter

Paketfilter, die eine Entscheidung anhand der Header-Daten der UDP/IP- und TCP/IP-Schichten (z. B. anhand der IP-Quelladresse, der IP-Zieladresse und der TCP-Flags) treffen, werden statische Paketfilter genannt.

Dynamische Paketfilter/Stateful Inspection

Dynamische Paketfilter (oder auch Paketfilter mit "Stateful Inspection" genannt) erweitern die Funktionalität der statischen Paketfilter um die Möglichkeit zur Betrachtung des Kommunikationkontextes. Dynamische Paketfilter können auch bei verbindungslosen Protokollen (wie z. B. UDP) eine Entscheidung treffen, ob ein eintreffendes Paket die Antwort auf eine Anfrage ist oder ob dieses Paket zu einer Kommunikationsinitiierung gehört. Zudem ist es möglich, Dienste sicher bereitzustellen, die nicht mit festen Portnummern verbunden sind, da auch hier Pakete unabhängig von Portnummern immer dann weitergeleitet werden, wenn es vorher eine passende Anfrage aus dem vertrauenswürdigen Netz gab.

Ein dynamischer Paketfilter speichert für eine bestimmte Zeitspanne die Quell-IP-Adresse und die Quell-Portnummer ausgehender Pakete. Eintreffende IP-Pakete werden nur dann weitergeleitet, wenn deren Ziel-IP-Adresse und Ziel-Portnummern noch im Speicher vorhanden sind, das heißt, wenn vorher eine Anfrage vom vertrauenswürdigen Netz aus gestartet wurde und die festgelegte Wartezeit noch nicht überschritten wurde.

Paketfilter mit Stateful Inspection stellen zudem meist die Möglichkeit zur Betrachtung der übertragenen Daten auf der Anwendungsebene bereit.

Realisierungsformen von Paketfiltern

1. Einrichtung eines Rechners als Paketfilter unter Nutzung eines Betriebssystems, das die notwendigen Funktionalitäten bereitstellt

Vorteile Nachteile
  • Je nach verwendetem Betriebssystem relativ geringe Investitionskosten.
  • Evtl. lange Ausfallzeiten bei Defekten, da u. U. das Betriebssystem aufgrund ausgetauschter Hardware neu installiert oder konfiguriert werden muss.
  • Relativ hoher Aufwand zur Konfiguration als Minimalsystem (im Vergleich zu einem Router mit Paketfilterfunktion).
  • Know-How-Aufbau notwendig zur Konfiguration als Minimalsystem.
  • Die Hardware von PC-Systemen ist oft anfälliger als die Hardware von Appliances, da letztere z. B. meist keine Festplatten oder Lüfter enthalten.
  • Die Administrationskosten sind in der Regel höher als bei Appliances, da Konfigurationsoberflächen meist nicht zur Verfügung stehen.
  • Die Komplexität ist oft höher als bei Appliances.

Tabelle 1: Einrichten eines Rechners als Paketfilter

2. Einrichtung von Filterregeln auf einem Router

Vorteile Nachteile
  • Keine Investitionskosten, falls ein Router schon vorhanden ist.
  • Im Vergleich zu rechnerbasierten Paketfiltern besteht eine geringe Ausfallwahrscheinlichkeit, da Router in der Regel eine bessere Verfügbarkeit aufweisen.
  • Die Erweiterungsmöglichkeiten von Routern sind oft eingeschränkt.
  • Die Konfiguration ist evtl. schwieriger als bei Appliances oder rechnerbasierten Paketfiltern.
  • Keine Kontrolle über die Sicherheitsfunktionen des Routers durch organisationsinternes Personal, falls dieser bei einem Dienstleister aufgestellt ist und von diesem administriert wird.

Tabelle 2: Vor- und Nachteile der Einrichtung von Filterregeln auf einem Router

3. Verwendung einer Appliance

Vorteile
Nachteile
  • Geringer Zeitaufwand nötig bis zur Inbetriebnahme.
  • Vereinfachte Konfiguration der bereitgestellten Funktionen (ggf. über Web-Oberfläche)
  • Einfache Konfiguration, da Appliances oft Administrationsoberflächen anbieten.
  • Appliances unterstützen oft automatische Updates.
  • Im Vergleich zu rechnerbasierten Paketfiltern eher geringere Ausfallwahrscheinlichkeit, da Appliances oft weniger "bewegliche Teile" enthalten (z. B. Festplatte oder Lüfter) als normale Rechner.
  • Geringe Erweiterungsmöglichkeiten der proprietären Hard- und Software.
  • Lange Ausfallzeiten, falls das Gerät im Fehlerfalle oft zum Hersteller gesandt werden muss, falls keine entsprechenden Wartungsverträge geschlossen wurden. Gegebenenfalls muss deshalb ein Ersatzgerät beschafft werden, das als "Cold Standby" vorgehalten wird.
  • Wenig Informationen zur sicheren Konfiguration und zum sicheren Betrieb zu speziellen Produkten erhältlich (über die Informationen des Herstellers hinaus). Dies ist besonders dann problematisch, wenn der Hersteller den Support einstellt.
  • Bestimmte Appliances besitzen u. U. eine geringe Verbreitung. In diesem Fall existieren evtl. wenig Berater bzw. Dienstleister zur Administration.

Tabelle 3: Verwendung einer Appliance

Anforderungen an Paketfilter

Bei allen drei Realisierungsformen lässt sich gegebenenfalls die Paketfilterkonfiguration aus den Einstellungen eines eventuell vorhandenen ALG s automatisch ableiten. Dies besitzt zum einen den Vorteil des geringen Konfigurationsaufwandes, zum anderen den Nachteil der geringeren Sicherheit, da eine Fehlkonfiguration des ALGs automatisch eine Fehlkonfiguration des Paketfilters bewirkt.

Vor der Beschaffung sollte überprüft werden, welche der folgenden Anforderungen das ALG erfüllt. Je nach Anwendungszusammenhang kann dabei auf einige Anforderungen verzichtet werden, d. h. es muss eine Bewertung der aufgelisteten Anforderungen im Anwendungszusammenhang erfolgen.

Folgende Möglichkeiten sollten vom Paketfilter unterstützt werden:

  • Weiterleiten oder Verwerfen von Paketen anhand
    • der Quell-IP- und Ziel-IP-Adresse einzelner Rechner oder Netze
    • des Quell- und Zielports
    • des ICMP-Typs
    • aller TCP-Flags (URG, ACK, PSH, RST, SYN, FIN). Mit Hilfe des ACK-Bits kann beispielsweise zwischen Paketen zum Verbindungsaufbau und Paketen im Rahmen einer etablierten Verbindung unterschieden werden. Durch Kontrolle der anderen Bits können IP-Pakete mit unsinnigen Kombinationen von TCP-Flags abgelehnt werden
    • der IP-Optionen.
  • Unterstützung der Aktionen
    • Weiterleiten des Pakets ("allow")
    • Verwerfen des Pakets ("deny & drop")
    • Verwerfen des Pakets und Meldung an den Absender ("deny & reject")
  • Erstellung von Filterregeln getrennt für jede Schnittstelle des Paketfilters
  • Getrennte Filterung kommender und gehender Pakete
  • Unveränderbare Festlegung der Reihenfolge zur Abarbeitung der Filterregeln
  • Protokollierung von IP-Adresse, Dienst, Zeit und Datum für jedes Paket, aber auch eingeschränkt auf bestimmte Pakete
  • Im Falle, dass ein Router als Paketfilter eingesetzt wird, muss das dynamische Routing so konfigurierbar sein, dass Routing-Pakete (z. B. RIP), die das zu schützende Netz betreffen, nur an dem Interface zugelassen werden, das auch mit dem zu schützenden Netz verbunden ist.
  • Schutz vor IP-Spoofing
  • Falls nur ein Paketfilter ohne ALG als Sicherheitsgateway eingesetzt wird, müssen zusätzlich folgende Funktionen unterstützt werden:
    • Port-Forwarding (auch oft "Destination NAT" genannt)
    • Network Address Translation (NAT). Auch Unterstützung für:
      • Ersetzen der IP-ID
      • Ersetzen der TTL
    • Stateful Inspection

Die Anforderungen an den Paketfilter und die Gründe, die für die getroffene Auswahl ausschlaggebend waren, sollten nachvollziehbar dokumentiert werden.

Prüffragen:

  • Wurden die Anforderungen an den Paketfilter und die Gründe, die für die getroffene Auswahl ausschlaggebend waren, nachvollziehbar dokumentiert?

Stand: 13. EL Stand 2013