Rechnernetze
Home Nach oben

Paketfilter

Paketfilter

auch Überwachungsrouter (Screening router)
filtert bestimmte Pakete aus dem Netz heraus
sendet solche Pakete nicht an die Zieladresse 
dienen gleichzeitig der Kopplung verschiedener Netzwerke 
oft bereits zur Anbindung an das Internet vorhanden.
entweder spezielle Hardware 
oder Software auf Dual-Homed-Host implementiert
Filterung durch Filtertabelle spezifiziert
folgende Kriterien kombinierbar
IP-Sendeadresse,
IP-Empfangsadresse,
Transportprotokoll (TCP, UDP oder ICMP),
Sende-Port (nur TCP und UDP),
Empfangs-Port (nur TCP und UDP),
ICMP-Nachrichtentyp,
Richtung.
Richtung (z.B. Inter- oder Intranet) aus der Paket kommt
Abwehr von sogenanntem IP-Spoofing 
Angreifer gibt (interne) Host-Adresse an
hofft auf leichteren Zugriff auf andere interne Hosts
Paketfilter erlauben nicht 
Zugriff auf Informationen des Anwendungsprotokolls
keine Interpretation des Dateninhaltes der Pakete

TCP/IP Protokollhierarchie und die Kapselung von Daten (nach [Ch])

Existiert Grenznetz
Paketfilter lässt ausschließlich Daten durch
vom direkt angebundenen Netz in das Grenznetz 
und zurück

Bewertung der Paketfilter-Architektur

Einfachste Firewall 

besteht nur aus einem Paketfilter
zwischen Intranet (LAN) und Internet 
alle Pakete müssen physikalisch durch Paketfilter laufen
Pakete selektiert nach Kriterien 
Absender-, 
Empfängeradresse, 
Quell-, 
Zielport (Dienst), 
Transportprotokoll und 
Richtung .
Sinnvollerweise nur Verbindungen von und zu den am besten gesicherten Hosts zugelassen

Einfache Firewall mit einem Paketfilter

Vorteile einer solch einfachen Firewall sind

Kostengünstiger Aufbau
Teils sind Netzwerke bereits über Router angeschlossen, 
lassen sich u.U. auch als Paketfilter nutzen 
Relativ leichte Konfiguration und Wartung
Anwendungen müssen nicht an Verwendung eines Paketfilters angepasst werden
müssen nicht Benutzer nicht informiert werden

Die Nachteile des Paketfilters sind

einzelne Komponente für gesamten Schutz des Netzwerks zuständig
ist diese Hürde genommen
kann gesamtes Netzwerk angegriffen werden
fehlende (mangelhafte) Protokollierungsmöglichkeiten
Angriffe schwierig überprüfbar
ob und 
wie ein Angriff stattgefundenen hat
Die Größe der Filtertabelle wächst mit den Diensten