Bundesamt für Sicherheit in der Informationstechnik

M 2.76 Auswahl und Einrichtung geeigneter Filterregeln

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Aufstellen und die notwendige Aktualisierung der Filterregeln für ein Sicherheitsgateway ist keine einfache Aufgabe. Die Administratoren müssen dafür fundierte Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult werden.

Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:

  • Anlass und Initiator der Regeleinrichtung müssen geeignet dokumentiert werden. Dies ist wichtig, damit später nachvollzogen werden kann, warum die jeweilige Filterregel implementiert wurde. Ohne diese Information ist es häufig schwierig, zeitnah Ansprechpartner der freigeschalteten Anwendungen zu identifizieren und zu entscheiden, ob die Regel gelöscht oder geändert werden kann.
  • Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.
  • Falls es Bedarf für eine benutzerspezifische Authentisierung gibt, muss geklärt werden, welche Benutzer aus dem internen Netz welche Dienste verwenden dürfen und welche Authentisierungsverfahren eingesetzt werden sollen.
  • Alle Rechner im internen Netz müssen berücksichtigt werden.
  • Es muss festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen.

Die Filterregeln für Paketfilter sollten in einer Tabelle zusammengefasst werden, deren eine Achse die Ziel-IP-Adressen und deren andere Achse die Quell- IP -Adressen enthält. Die Einträge enthalten dann die erlaubten Portnummern, dabei ist die obere der Quell-, die untere der Zielport. Paketfilter können die Überprüfung der Pakete unter anderem unmittelbar nach dem Empfang oder unmittelbar vor der Weiterleitung durchführen. Normalerweise sollte die erste Variante gewählt werden. Außerdem müssen die Paketfilter so konfiguriert werden, dass als Absenderadresse nur die Nummern der an dem Interface angeschlossenen Rechner zugelassen werden ("Ingress-Filterung"). Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing-Angriffen.

Beispiel:

Die folgende Tabelle enthält Filterregeln für das interne Interface eines Paketfilters zwischen einem internen Netz und dem Zwischennetz, das sich zwischen dem internen und dem externen Paketfilter befindet.

Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der obere Eintrag den Quellport und der untere Eintrag den Zielport.
Quellsystem Zielsystem Quellport Zielport
Interner Mailserver Externer Mailserver im Zwischennetz TCP > 1023 TCP: 25
Interner DNS-Server Externer DNS -Server im Zwischennetz UDP : 53 UDP: 53
IT -System mit der IP-Adresse 192.168.0.5 Appl.-Level-Gateway im Zwischennetz TCP > 1023 TCP: 20,21
IT-System mit der IP-Adresse 192.168.0.7 Appl.-Level-Gateway im Zwischennetz TCP > 1023 TCP: 23
IT-System mit dem IP-Adressbereich 192.168.0.* Appl.-Level-Gateway im Zwischennetz TCP > 1023 TCP: 22,80
IT-System mit dem IP-Adressebereich 192.168.1.* Appl.-Level-Gateway im Zwischennetz TCP > 1023 TCP: 80

Tabelle 1: Filterregeln für das interne Interface eines Paketfilters

Der Verbindungsaufbau zwischen den nicht aufgeführten Systemen, wie beispielsweise zwischen internem Mailserver und externem DNS-Server, muss unterdrückt werden. Alle nicht aufgelisteten Portnummern sind zu blocken. Sofern weitere Dienste oder Kommunikationsbeziehungen benötigt werden, muss die Tabelle 1 entsprechend ergänzt werden.

Dies bedeutet beispielsweise, dass der interne Mailserver mit TCP von einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen Mailservers im Zwischennetz zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegierte oder "well-known Ports" bezeichnet werden, da die Dienste hinter diesen Portnummern von der "Internet Assigned Numbers Authority" (IANA) zugewiesen sind.

Diese Tabelle muss dann in entsprechende Filterregeln umgesetzt werden. Dies ist häufig nicht einfach und muss deshalb sehr genau kontrolliert werden.

Ggf. können die Filterregeln mit Hilfe von Tools umgesetzt werden, die über Bedienoberflächen die Modellierung des Netzes und der zugehörigen Filterregeln erleichtern. Durch regelmäßige Tests muss überprüft werden, dass die Filterregeln den aktuellen Anforderungen entsprechen und dass alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muss sichergestellt werden, dass nur die Dienste zugelassen werden, die in der Sicherheitsrichtlinie vorgesehen sind.

Für die Regeln eines Application-Level-Gateways sind analoge Tabellen zu erstellen und in die entsprechenden Filterregeln umzusetzen.

Beispiel:

Org.einheit Dienst Befehle Authentisierung
F23 FTP ..., RETR, STOR Einmalpasswort
R01 FTP ..., RETR Chipkarte

Tabelle 2: Tabelle für die Regeln eines Application-Level-Gateways

Die Benutzer der Organisationseinheit F23 dürfen (unter anderem) die Befehle RETR und STOR des Dienstes FTP benutzen, d. h. sie dürfen über FTP Dateien laden und senden, während die Benutzer der Organisationseinheit R01 nur Dateien laden dürfen.

Prüffragen:

  • Wird für die Filterregeln des Sicherheitsgateways das Whitelist-Verfahren angewendet, um alle Verbindungen, die nicht explizit erlaubt werden, zu verbieten?

  • Werden in den Filterregeln alle Rechner im inneren Netz berücksichtigt?

  • Sind die eingerichteten Filterregeln des Sicherheitsgateways, z. B. durch Beschreibung der jeweiligen Funktion, dokumentiert?

  • Werden am Sicherheitsgateway ausschließlich Dienste zugelassen, die den Anforderungen der Sicherheitsrichtlinie entsprechen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK