Paketfilter
Inhaltsverzeichnis
Paketfilterung
Ein Paketfilter ist eine Software, die den ein- und ausgehenden Datenverkehr in einem Computernetz filtert. In der Regel dient es dem Schutz des Netzes vor Angreifern. Wichtig ist auch der Schutz gegen Angreifer von Aussen, so wie der Schutz gegen ungwollte ausgehende Pakete. Damit kann man z.B. erschweren, dass der eigene Rechner umgewollt und unbemerkt Viren im Internet verbreitet. Ein Paketfilterung kann Teil einer Firewall sein.
Verwendung
Paketfilterung werden verwendet, um das Konzept einer Firewall umsetzen.
Auf Routern kommen sie zum Einsatz um sogenannte Ingress Filter zu implementieren. Mit solchen Filtern wird verhindert, dass Datenpakete aus oder in ein Netz gesendet werden. die ungültige Absender oder Ziel-Adressen beinhalten. Ist z.B. an einer Router Schnittstelle nur das Netz 10.1.1.0/24 angeschlossen. und es kommt ein Datenpaket mit der Absender Adresse 172.16.1.42 aus diesem Netz, sollte der Router das Paket verwerfen. Es liegt entweder ein Konfigurationsfehler vor, oder ein Angreifer versucht seine Absender Adresse zu fälschen. Auch Multicast und Braodcast Absender lassen sich so filtern.
Funktionsweise
Die Daten werden im Netz von dem sendenden Host in Datenpakete verpackt und versendet. Jedes Paket wird dan das den Paketfilter passieren will, durchsucht. In dem Packet befinden sich die Daten sowie Absender und Empfänger Adresse, der Paketfilter entscheidet auf Grund der Filterregeln, was mit diesem Oaket geschieht. Ein Paket das nicht zugelassen wird daher den Filter passieren darf, wird entweder verworfen oder, an den Absender zurückgeschickt mit einer Bemerkung, dass der Zugriff unzulässig war.
Ein Paketfilter heisst "stateful" wenn er für ein ausgehendes Paket automatisch eine Regel erzeugt, die in einem bestimmten Zeitfenster die Antwort auf dieses Paket akzeptiert. Das Zeitfenster befindet sich im Minutenbereich. Wenn die Antwort nicht kommt, ode rdie Zeit überschritten wird, verfällt die Regel. Ind der Regel können solche Filter auch mit Protokollen umgehen, die auf zwei Ports arbeiten.
Paketfilterbeispiel
Stellt man sich das Internet vor mit gigantischen Ansammlungen von Häusern, dann stellen die Ip-Adressen sozusagen die Hausnummern dar. Unter einer bestimmten Hausnummer kann man nun direkt mit einem Rechner kommunizieren, egal wo sich dieser Rechner befindet.
In den einzelnen Etagen dieser Rechner sind nun die verschiedenen Dienste wie HTTP, FTP oder SSH. Die einzelnen Etagen sind mit einer Nummer gekenntzeichnet, die man auch Port nennt. Der Paketfilter kann nun verschiedene Etagen/Ports für die Besucher aus dem Internet sperren. Daher jede Verbindung die aus dem Internet kommt wird an der Haustür abgewiesen. Durch eine spezielle Konfiguration einer Firewall kann so ein Rechnernetz vor Zugriffen und Angriffen geschützt werden.
Ein Paketfilter definiert Regeln, welche festlegen, ob einzelne oder zusammenhängende Pakete das Zugangsschutzsystem passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: verwerfe alle Pakete, die von der IP-Adresse 1.2.3.4 kommen. Eine solche Regel ist programmtechnisch einfach: es ist nur ein Zahlenwert zu vergleichen. Nur nicht pragmatisch: die Anzahl dieser Nummern im Internet geht in die Millionen. Übeltäter wechseln häufig das Wohnhaus, d. h. ihre IP-Adresse. Für einen wirklichen Schutz ist der Verwaltungsaufwand zu groß. Deshalb geht man oft den umgekehrten Weg und stellt folgende Regel auf: Lasse nur Pakete durch, die von der IP-Adresse 2.3.4.5 kommen.
Prinzipiell ist dies aber auch kein wirklich sicherer Weg, da ein Übeltäter die Hausnummer ohne größere technische Probleme fälschen kann. Eine sichere Kommunikation z. B. zwischen Firmennetzen ist nur möglich, wenn Protokolle verwendet werden, die eine Authentifikation und Autorisierung der beteiligten Benutzer oder Systeme vornehmen. Dies kann beispielsweise mit virtuellen privaten Netzwerken geschehen.
