Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Paketfilter sind IT-Systeme mit spezieller Software, die die Informationen der unteren Schichten des OSI-Modells filtern und entsprechend spezieller Regeln Pakete weiterleiten oder abfangen (siehe M 2.74 Geeignete Auswahl eines Paketfilters).

Die Konfiguration eines Paketfilters, der zum Schutz von Internet-Servern eingesetzt wird, sollte sehr restriktiv sein, um die Widerstandsfähigkeit gegen Angriffe zu maximieren. Zwar sollte ein gut konfigurierter Internet-Server (siehe M 4.95 Minimales Betriebssystem) sich selbst vor Angriffen schützen können, jedoch ist die Software eines Internet-Servers viel komplexer und fehleranfälliger als die eines auf Sicherheit konzipierten Paketfilters. Der Paketfilter sollte nur diejenigen Kommunikationskanäle durchlassen, die für die Funktion der Internet-Server notwendig sind. Insbesondere ist nicht nur die Kommunikation zu kontrollieren, die vom Internet zum Internet-Server initiiert wird, sondern auch die Kommunikation, die der Internet-Server zum Internet hin aufbauen darf. Für viele Angriffe ist es eine notwendige Voraussetzung, dass der angegriffene Rechner neue Verbindungen zum Internet hin aufbauen kann. Ist dies nicht möglich, so sind auch viele Angriffe nicht erfolgreich. So war 1997 ein Angriff auf News-Server sehr "beliebt", bei dem sich der Angreifer über einen Fehler in einem News-Daemon per E-Mail wichtige Systeminformationen zuschicken lassen konnte. Hätten die angegriffenen Rechner nicht die Berechtigung zum Verschicken von E-Mails gehabt, so hätte der Angreifer auch keine Rückmeldung bekommen. Der Angriff wäre nicht erfolgreich gewesen.

Im folgenden werden einige Beispiele für die Konfiguration von Paketfiltern für verschiedene Internet-Server dargestellt.

  1. WWW-Server:
    • Internet darf auf Port 80 des WWW-Servers TCP
    • WWW-Server darf ins Internet von Port 80 TCP/ack, sonst nichts!
  2. News-Server:
    • Newsfeed-Server dürfen auf Port 119 des News-Servers TCP
    • News-Server darf von Port 119 auf Newsfeed-Server TCP/ack
    • News-Server darf auf Port 119 der Newsfeed-Server TCP
    • Newsfeed-Server dürfen von Port 119 auf den News-Server TCP/ack
  3. E-Mailserver (Provider stellt E-Mail-Gateway zur Verfügung):
    • E-Mailserver des Providers darf auf Port 25 des E-Mailservers TCP
    • E-Mailserver darf von Port 25 auf E-Mailserver des Providers TCP/ack
    • E-Mailserver darf auf Port 25 des E-Mailservers des Providers TCP
    • E-Mailserver des Providers darf von Port 25 auf E-Mailserver TCP/ack
  4. E-Mailserver (eigenes Verschicken ins Internet):
    • Internet darf auf Port 25 des E-Mailservers TCP
    • E-Mailserver darf von Port 25 ins Internet TCP/ack
    • E-Mailserver darf auf Port 25 im Internet TCP
    • Internet darf von Port 25 auf den E-Mailserver TCP/ack

Werden nur diese Regeln implementiert, ist eine Kommunikationsaufnahme aus dem Internet nur auf die freigegebenen Dienste beschränkt. Können zusätzlich die Kommunikationspartner noch weiter eingeschränkt werden (siehe obige Beispiele 2 und 3), so kann ein Angreifer gar keine direkte Verbindung zu dem Internet-Server aufbauen.

Hinweis: Obige Regeln können bewirken, dass der Internet-Server nicht von jedem Rechner aus erreicht werden kann, da ICMP nicht durchgelassen wird. Deshalb empfiehlt es sich, den ICMP Subtype icmp unreachable vom Internet hin zum Internet-Server durchzulassen.

Ergänzende Kontrollfragen: