Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.76 Auswahl und Einrichtung geeigneter Filterregeln - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.76 Auswahl und Einrichtung geeigneter Filterregeln

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Das Aufstellen und die notwendige Aktualisierung der Filterregeln für ein Sicherheitsgateway ist keine einfache Aufgabe. Der Administrator muss dafür fundierte Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult werden.

Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:

Die Filterregeln sollten in einer Tabelle zusammengefasst werden, deren eine Achse die Ziel-IP-Adressen und deren andere Achse die Quell-IP-Adressen enthält. Die Einträge enthalten dann die erlaubten Portnummern, dabei ist die obere der Quell-, die untere der Zielport. Paketfilter können die Überprüfung der Pakete unter anderem unmittelbar nach dem Empfang oder unmittelbar vor der Weiterleitung durchführen. Normalerweise sollte die erste Variante gewählt werden. Außerdem müssen die Paketfilter so konfiguriert werden, dass als Absenderadresse nur die Nummern der an dem Interface angeschlossenen Rechner zugelassen werden ("Ingress-Filterung"). Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing Angriffen.

Beispiel:

Die folgende Tabelle enthält Filterregeln für das interne Interface eines Paketfilters zwischen einem internen Netz und dem Zwischennetz, das sich zwischen dem internen und dem externen Paketfilter befindet und die Verbindungen zwischen diesen kontrolliert.

Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der obere Eintrag den Quellport und der untere Eintrag den Zielport.

 
Quellsystem  Zielsystem  Quellport  Zielport 
Interner Mailserver  Externer Mailserver im Zwischennetz  TCP > 1023  TCP: 25 
Interner DNS-Server  Externer DNS-Server im Zwischennetz  TCP : 53  UDP: 53 
IT-System mit der IP-Adresse 192.168.0.5  Appl.-Level-Gateway im Zwischennetz  TCP > 1023  TCP: 20,21 
IT-System mit der IP-Adresse 192.168.0.7  Appl.-Level-Gateway im Zwischennetz  TCP > 1023  TCP: 23 
IT-System mit dem IP-Adressbereich 192.168.0.*  Appl.-Level-Gateway im Zwischennetz  TCP > 1023  TCP: 22,80 
IT-System mit dem IP-Adressebereich 192.168.1.*  Appl.-Level-Gateway im Zwischennetz  TCP > 1023  TCP: 80 

Tabelle 1: Filterregeln für das interne Interface eines Paketfilters

Der Verbindungsaufbau zwischen den nicht aufgeführten Systemen, wie beispielsweise zwischen internem Mailserver und externem DNS-Server, muss unterdrückt werden. Alle nicht aufgelisteten Portnummern sind zu blocken. Sofern weitere Dienste oder Kommunikationsbeziehungen benötigt werden, muss die Tabelle 1 entsprechend ergänzt werden.

Dies bedeutet beispielsweise, dass der interne Mailserver mit TCP von einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen Mailservers im Zwischennetz zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegierte oder "well-known Ports" bezeichnet werden, da die Dienste hinter diesen Portnummern von der "Internet Assigned Numbers Authority" (IANA) zugewiesen sind.

Diese Tabelle muss dann in entsprechende Filterregeln umgesetzt werden. Dies ist häufig nicht einfach und muss deshalb sehr genau kontrolliert werden.

Ggf. können die Filterregeln mit Hilfe von Tools umgesetzt werden, die über Bedienoberflächen die Modellierung des Netzes und der zugehörigen Filterregeln erleichtern. Durch regelmäßige Tests muss überprüft werden, dass alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muss sichergestellt werden, dass nur die Dienste zugelassen werden, die in der Sicherheitsrichtlinie vorgesehen sind.

Für die Regeln eines Application-Level-Gateways sind analoge Tabellen zu erstellen und in die entsprechenden Filterregeln umzusetzen.

Beispiel:

 
Benutzername  Dienst  Befehl  Authentisierung 
Frau Beispiel  FTP  ..., RETR, STOR  Einmalpasswort 
Herr Mustermann  FTP  ..., RETR  Chipkarte 

Tabelle 2: Tabelle für die Regeln eines Application-Level-Gateways

Die Benutzerin Frau Beispiel darf (unter anderem) die Befehle RETR und STOR des Dienstes FTP benutzen, d. h. sie darf über FTP Dateien laden und senden, während Herr Mustermann nur Dateien laden darf.

Ergänzende Kontrollfragen: