Next: Programmierung von Paket-Filtern Up: Vorstellung allgemeiner Firewall-Konzepte Previous: Der Host

Der Paket-Filter

Unter einem Paket-Filter [Ches94] versteht man einen Firewall, der die Transportentscheidung über ein eintreffendes Paket aufgrund der Header-Informationen bis zur Schicht 4 des OSI-Modells trifft, also aufgrund von (siehe Kapitel

Adresse des Absenders
Port des Absenders
Adresse des Empfängers
Port des Empfängers
Transportprotokoll
Flags
Interface

Aus diesem Grund kommen hierfür Router in Frage, wobei es natürlich auch möglich ist, einen Host als Paket-Filter zu verwenden. Ein Paket-Filter verfügt üblicherweise über zwei oder mehr Interfaces, was eine Konfiguration ermöglicht, bei der kein Paket vom externen in das interne Netz bzw. umgekehrt gelangen kann, ohne den Paket-Filter zu passieren (Siehe Abbildung ).

**Abbildung:** Verbindung zweier Netze mit Hilfe eines Paket-Filters
$\begin{figure} \begin{center} \leavevmode \epsfxsize=\linewidth \epsffile{Paket-Filter.eps} \end{center} \end{figure}$

Die allgemeine Arbeitsweise eines Paket-Filters besteht darin, jedes eintreffende Paket in Hinblick auf seine Quell- und Zieladresse sowie auf Quell- und Zielport und Transportprotokoll zu untersuchen. Diese Informationen werden mit einer Reihe von Regeln verglichen, die eine Entscheidung ermöglichen, ob das Paket der Sicherheitspolitik des Unternehmens entspricht oder nicht. Sollte dies der Fall sein, so wird das Paket weitergeleitet, andernfalls verworfen. Es wird kein Kontext über die Verbindung aufrechterhalten, weshalb die Entscheidung über den Transport eines Paketes nur aufgrund der Header-Informationen des jeweiligen Paketes erfolgen kann.

Next: Programmierung von Paket-Filtern Up: Vorstellung allgemeiner Firewall-Konzepte Previous: Der Host

Root on HPHEGER0
8/28/1998