M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen der unteren Schichten des OSI -Modells filtern und entsprechend spezieller Regeln Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete Auswahl eines Paketfilters ).

Die Konfiguration eines Paketfilters, der zum Schutz von Internet-Servern eingesetzt wird, sollte sehr restriktiv sein, um die Widerstandsfähigkeit gegen Angriffe zu maximieren. Zwar sollte sich ein gut konfigurierter Internet-Server (siehe M 4.95 Minimales Betriebssystem ) selbst vor Angriffen schützen können, jedoch ist die Software eines Internet-Servers viel komplexer und fehleranfälliger als die eines auf Sicherheit konzipierten Paketfilters. Der Paketfilter sollte nur diejenigen Kommunikationskanäle durchlassen, die für die Funktion der Internet-Server notwendig sind. Insbesondere ist nicht nur die Kommunikation zu kontrollieren, die vom Internet zum Internet-Server initiiert wird, sondern auch die Kommunikation, die der Internet-Server zum Internet hin aufbauen darf. Für viele Angriffe ist es eine notwendige Voraussetzung, dass der angegriffene Rechner neue Verbindungen zum Internet hin aufbauen kann. Ist dies nicht möglich, sind auch viele Angriffe nicht erfolgreich. So war 1997 ein Angriff auf News-Server sehr verbreitet, bei dem sich der Angreifer über einen Fehler in einem News-Daemon per E-Mail wichtige Systeminformationen zuschicken lassen konnte. Hätten die angegriffenen Rechner nicht die Berechtigung zum Verschicken von E-Mails gehabt, so hätte der Angreifer auch keine Rückmeldung bekommen und der Angriff wäre nicht erfolgreich gewesen.

Im Folgenden werden einige Beispiele für die Konfiguration von Paketfiltern für verschiedene Internet-Server dargestellt.

Werden nur diese Regeln implementiert, ist eine Kommunikationsaufnahme aus dem Internet auf die freigegebenen Dienste beschränkt. Können die Kommunikationspartner noch weiter eingeschränkt werden (siehe obige Beispiele), so kann ein Angreifer gar keine direkte Verbindung zu dem Internet-Server aufbauen.

Hinweis: Obige Regeln können bewirken, dass der Internet-Server nicht von jedem Rechner aus erreicht werden kann, da ICMP nicht durchgelassen wird. Deshalb empfiehlt es sich, den ICMP Subtype icmp unreachable vom Internet hin zum Internet-Server durchzulassen.

Prüffragen: