M 2.76 Auswahl und Einrichtung geeigneter Filterregeln
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Das Aufstellen und die notwendige Aktualisierung der Filterregeln für ein Sicherheitsgateway ist keine einfache Aufgabe. Der Administrator muss dafür fundierte Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult werden.
Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:
- Grundsätzlich sollte die "Whitelist" Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.
- Falls es Bedarf für eine benutzerspezifische Authentisierung gibt, muss geklärt werden, welche Benutzer aus dem internen Netz welche Dienste verwenden dürfen und welche Authentisierungsverfahren eingesetzt werden sollen.
- Alle Rechner im inneren Netz müssen berücksichtigt werden.
- Es muss festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen. Wenn eine Organisation festgelegte Arbeitszeiten hat, Mitarbeiter z. B. nur zwischen 7.00 und 19.00 Uhr anwesend sein können, so sollte es außerhalb der üblichen Arbeitszeiten auch nicht möglich sein, Verbindungen aufzubauen.
Die Filterregeln sollten in einer Tabelle zusammengefasst werden, deren eine Achse die Ziel-IP-Adressen und deren andere Achse die Quell-IP-Adressen enthält. Die Einträge enthalten dann die erlaubten Portnummern, dabei ist die obere der Quell-, die untere der Zielport. Paketfilter können die Überprüfung der Pakete unter anderem unmittelbar nach dem Empfang oder unmittelbar vor der Weiterleitung durchführen. Normalerweise sollte die erste Variante gewählt werden. Außerdem müssen die Paketfilter so konfiguriert werden, dass als Absenderadresse nur die Nummern der an dem Interface angeschlossenen Rechner zugelassen werden ("Ingress-Filterung"). Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing Angriffen.
Beispiel:
Die folgende Tabelle enthält Filterregeln für das interne Interface eines Paketfilters zwischen einem internen Netz und dem Zwischennetz, das sich zwischen dem internen und dem externen Paketfilter befindet und die Verbindungen zwischen diesen kontrolliert.
Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der obere Eintrag den Quellport und der untere Eintrag den Zielport.
Quellsystem | Zielsystem | Quellport | Zielport |
---|---|---|---|
Interner Mailserver | Externer Mailserver im Zwischennetz | TCP > 1023 | TCP: 25 |
Interner DNS-Server | Externer DNS-Server im Zwischennetz | TCP : 53 | UDP: 53 |
IT-System mit der IP-Adresse 192.168.0.5 | Appl.-Level-Gateway im Zwischennetz | TCP > 1023 | TCP: 20,21 |
IT-System mit der IP-Adresse 192.168.0.7 | Appl.-Level-Gateway im Zwischennetz | TCP > 1023 | TCP: 23 |
IT-System mit dem IP-Adressbereich 192.168.0.* | Appl.-Level-Gateway im Zwischennetz | TCP > 1023 | TCP: 22,80 |
IT-System mit dem IP-Adressebereich 192.168.1.* | Appl.-Level-Gateway im Zwischennetz | TCP > 1023 | TCP: 80 |
Tabelle 1: Filterregeln für das interne Interface eines Paketfilters
Der Verbindungsaufbau zwischen den nicht aufgeführten Systemen, wie beispielsweise zwischen internem Mailserver und externem DNS-Server, muss unterdrückt werden. Alle nicht aufgelisteten Portnummern sind zu blocken. Sofern weitere Dienste oder Kommunikationsbeziehungen benötigt werden, muss die Tabelle 1 entsprechend ergänzt werden.
Dies bedeutet beispielsweise, dass der interne Mailserver mit TCP von einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen Mailservers im Zwischennetz zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegierte oder "well-known Ports" bezeichnet werden, da die Dienste hinter diesen Portnummern von der "Internet Assigned Numbers Authority" (IANA) zugewiesen sind.
Diese Tabelle muss dann in entsprechende Filterregeln umgesetzt werden. Dies ist häufig nicht einfach und muss deshalb sehr genau kontrolliert werden.
Ggf. können die Filterregeln mit Hilfe von Tools umgesetzt werden, die über Bedienoberflächen die Modellierung des Netzes und der zugehörigen Filterregeln erleichtern. Durch regelmäßige Tests muss überprüft werden, dass alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muss sichergestellt werden, dass nur die Dienste zugelassen werden, die in der Sicherheitsrichtlinie vorgesehen sind.
Für die Regeln eines Application-Level-Gateways sind analoge Tabellen zu erstellen und in die entsprechenden Filterregeln umzusetzen.
Beispiel:
Benutzername | Dienst | Befehl | Authentisierung |
Frau Beispiel | FTP | ..., RETR, STOR | Einmalpasswort |
Herr Mustermann | FTP | ..., RETR | Chipkarte |
Tabelle 2: Tabelle für die Regeln eines Application-Level-Gateways
Die Benutzerin Frau Beispiel darf (unter anderem) die Befehle RETR und STOR des Dienstes FTP benutzen, d. h. sie darf über FTP Dateien laden und senden, während Herr Mustermann nur Dateien laden darf.
Ergänzende Kontrollfragen:
- Besitzen die Administratoren die notwendigen Kenntnisse, um die Filterregeln zu formulieren?
- Wurde die Tabelle der erlaubten IP- und Port-Kombinationen erstellt?
- Wurde die Umsetzung der Tabelle in Filterregeln überprüft? Entsprechen die Filterregeln den in der Tabelle formulierten Anforderungen?
- Wurden die Regeln des Application-Level-Gateways entsprechend formuliert und umgesetzt?