Bundesamt für Sicherheit in der Informationstechnik

M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen der unteren Schichten des OSI -Modells filtern und entsprechend spezieller Regeln Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete Auswahl eines Paketfilters ).

Die Konfiguration eines Paketfilters, der zum Schutz von Internet-Servern eingesetzt wird, sollte sehr restriktiv sein, um die Widerstandsfähigkeit gegen Angriffe zu maximieren. Zwar sollte sich ein gut konfigurierter Internet-Server (siehe M 4.95 Minimales Betriebssystem ) selbst vor Angriffen schützen können, jedoch ist die Software eines Internet-Servers viel komplexer und fehleranfälliger als die eines auf Sicherheit konzipierten Paketfilters. Der Paketfilter sollte nur diejenigen Kommunikationskanäle durchlassen, die für die Funktion der Internet-Server notwendig sind. Insbesondere ist nicht nur die Kommunikation zu kontrollieren, die vom Internet zum Internet-Server initiiert wird, sondern auch die Kommunikation, die der Internet-Server zum Internet hin aufbauen darf. Für viele Angriffe ist es eine notwendige Voraussetzung, dass der angegriffene Rechner neue Verbindungen zum Internet hin aufbauen kann. Ist dies nicht möglich, sind auch viele Angriffe nicht erfolgreich. So war 1997 ein Angriff auf News-Server sehr verbreitet, bei dem sich der Angreifer über einen Fehler in einem News-Daemon per E-Mail wichtige Systeminformationen zuschicken lassen konnte. Hätten die angegriffenen Rechner nicht die Berechtigung zum Verschicken von E-Mails gehabt, so hätte der Angreifer auch keine Rückmeldung bekommen und der Angriff wäre nicht erfolgreich gewesen.

Im Folgenden werden einige Beispiele für die Konfiguration von Paketfiltern für verschiedene Internet-Server dargestellt.

  • Webserver:
    • Internet darf auf Port 80, beziehungsweise 443 für SSL / TLS , des Webservers TCP
    • Webserver darf ins Internet von Port 80, beziehungsweise 443 für SSL/TLS, TCP/ack, sonst nichts!
  • News-Server:
    • Newsfeed-Server dürfen auf Port 119 des News-Servers TCP
    • News-Server darf von Port 119 auf Newsfeed-Server TCP/ack
    • News-Server darf auf Port 119 der Newsfeed-Server TCP
    • Newsfeed-Server dürfen von Port 119 auf den News-Server TCP/ack
  • Mailserver (Provider stellt E-Mail-Gateway zur Verfügung):
    • Mailserver des Providers darf auf Port 25 des Mailservers TCP
    • Mailserver darf von Port 25 auf Mailserver des Providers TCP/ack
    • Mailserver darf auf Port 25 des Mailservers des Providers TCP
    • Mailserver des Providers darf von Port 25 auf Mailserver TCP/ack
  • Mailserver (eigenes Verschicken ins Internet):
    • Internet darf auf Port 25 des Mailservers TCP
    • Mailserver darf von Port 25 ins Internet TCP/ack
    • Mailserver darf auf Port 25 im Internet TCP
    • Internet darf von Port 25 auf den Mailserver TCP/ack
  • DNS-Server:
    • Resolving DNS-Server darf auf Port 53 des Advertising DNS-Servers UDP
    • Advertising DNS-Server darf auf alle Ports des Resolving DNS-Servers UDP (nur bei stateless Firewall nötig)
    • Resolving DNS-Server darf auf Port 53 seines Forwarders UDP
    • Forwarder darf auf alle Ports des Resolving DNS-Servers UDP (nur bei stateless Firewall nötig)
    • Externes Netz darf auf Port 53 des Advertising DNS-Servers UDP
    • Advertising DNS-Server darf auf alle Ports externer DNS-Server UDP und TCP (nur bei stateless Firewall nötig)
    • Internes Netz darf auf Port 53 des Resolving DNS-Servers UDP
    • Resolving DNS-Server darf auf alle Ports des internen Netzes UDP (nur bei stateless Firewall nötig)
    • Primary DNS-Server darf auf Port 53 seiner Secondary DNS-Server UDP und TCP
    • Secondary DNS-Server darf auf Port 53 seines Primary DNS-Server UDP und TCP

Werden nur diese Regeln implementiert, ist eine Kommunikationsaufnahme aus dem Internet auf die freigegebenen Dienste beschränkt. Können die Kommunikationspartner noch weiter eingeschränkt werden (siehe obige Beispiele), so kann ein Angreifer gar keine direkte Verbindung zu dem Internet-Server aufbauen.

Hinweis: Obige Regeln können bewirken, dass der Internet-Server nicht von jedem Rechner aus erreicht werden kann, da ICMP nicht durchgelassen wird. Deshalb empfiehlt es sich, den ICMP Subtype icmp unreachable vom Internet hin zum Internet-Server durchzulassen.

Prüffragen:

  • Lässt der Paketfilter nur die benötigten Kommunikationskanäle offen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK