Rechnernetze
Home Nach oben Stichworte

Paketfilter

Ein Paketfilter filtert bestimmte Pakete aus dem Netz heraus, d.h. er sendet sie nicht an die Zieladresse weiter. Sie dienen gleichzeitig der Kopplung verschiedener Netzwerke und sind daher oft bereits zur Anbindung an das Internet vorhanden. Paketfilter sind entweder als spezielle Hardware ausgeführt oder werden durch Software auf einem Dual-Homed-Host implementiert. Die Filterung kann innerhalb einer Filtertabelle aus den folgenden Kriterien kombiniert werden:

IP-Sendeadresse,
IP-Empfangsadresse,
Transportprotokoll (TCP, UDP oder ICMP),
Sende-Port (nur TCP und UDP),
Empfangs-Port (nur TCP und UDP),
ICMP-Nachrichtentyp,
Richtung.

Die Richtung (z.B. Inter- oder Intranet) aus der ein Paket kommt, ist zur Abwehr von sogenanntem IP-Spoofing von entscheidender Bedeutung. Beim IP-Spoofing gibt ein Angreifer vor, eine andere, meist interne Host-Adresse zu haben und erhofft sich dadurch leichteren Zugriff auf andere interne Hosts. Paketfilter erlauben nicht den Zugriff auf Informationen des Anwendungsprotokolls, so dass keine Interpretation des Dateninhaltes der Pakete stattfinden kann.

TCP/IP Protokollhierarchie und die Kapselung von Daten (nach [Ch])

Existiert ein Grenznetz, so lässt der Paketfilter ausschließlich Daten vom direkt angebundenen Netz in das Grenznetz und zurück durch.

Ein ebenfalls für Paketfilter verwendeter Begriff ist Überwachungsrouter (Screening router).

Bewertung der Paketfilter-Architektur

Die einfachste Zusammensetzung einer Firewall besteht nur aus einem Paketfilter. Der Paketfilter wird zwischen dem Intranet (LAN) und dem Internet platziert, d.h. alle Pakete müssen physikalisch durch den Paketfilter laufen. Die Pakete werden nach den Kriterien Absender-, Empfängeradresse, Quell-, Zielport (Dienst), Transportprotokoll und Richtung selektiert. Sinnvollerweise werden nur Verbindungen von und zu den am besten gesicherten Hosts zugelassen.

Einfache Firewall mit einem Paketfilter

Die Vorteile einer solch einfachen Firewall sind

Kostengünstiger Aufbau
Teils sind Netzwerke bereits über einen Router angeschlossen, die sich u.U. auch als Paketfilter nutzen lassen.
Relativ leichte Konfiguration und Wartung
Anwendungen müssen nicht an die Verwendung eines Paketfilters angepasst und Benutzer nicht informiert werden.

Die Nachteile des Paketfilters sind

Eine einzelne Komponente ist für den gesamten Schutz des Netzwerks zuständig. Ist diese Hürde genommen, kann das gesamte Netzwerk problemlos angegriffen werden.
Durch die fehlende (evtl. mangelhaften) Protokollierungsmöglichkeiten, die ein Paketfilter bietet, kann kaum überprüft werden, ob und wie ein Angriff stattgefundenen hat.
Die Größe der Filtertabelle wächst mit den Diensten