PaketfilterEin Paketfilter filtert bestimmte Pakete aus dem Netz heraus, d.h. er sendet sie nicht an die Zieladresse weiter. Sie dienen gleichzeitig der Kopplung verschiedener Netzwerke und sind daher oft bereits zur Anbindung an das Internet vorhanden. Paketfilter sind entweder als spezielle Hardware ausgeführt oder werden durch Software auf einem Dual-Homed-Host implementiert. Die Filterung kann innerhalb einer Filtertabelle aus den folgenden Kriterien kombiniert werden:
Die Richtung (z.B. Inter- oder Intranet) aus der ein Paket kommt, ist zur Abwehr von sogenanntem IP-Spoofing von entscheidender Bedeutung. Beim IP-Spoofing gibt ein Angreifer vor, eine andere, meist interne Host-Adresse zu haben und erhofft sich dadurch leichteren Zugriff auf andere interne Hosts. Paketfilter erlauben nicht den Zugriff auf Informationen des Anwendungsprotokolls, so dass keine Interpretation des Dateninhaltes der Pakete stattfinden kann. Existiert ein Grenznetz, so lässt der Paketfilter ausschließlich Daten vom direkt angebundenen Netz in das Grenznetz und zurück durch. Ein ebenfalls für Paketfilter verwendeter Begriff ist Überwachungsrouter (Screening router). Bewertung der Paketfilter-ArchitekturDie einfachste Zusammensetzung einer Firewall besteht nur aus einem Paketfilter. Der Paketfilter wird zwischen dem Intranet (LAN) und dem Internet platziert, d.h. alle Pakete müssen physikalisch durch den Paketfilter laufen. Die Pakete werden nach den Kriterien Absender-, Empfängeradresse, Quell-, Zielport (Dienst), Transportprotokoll und Richtung selektiert. Sinnvollerweise werden nur Verbindungen von und zu den am besten gesicherten Hosts zugelassen.
Die Vorteile einer solch einfachen Firewall sind
Die Nachteile des Paketfilters sind
|