zu Teil 4: Der sichere Umgang mit SSH

Wir fassen noch einmal kurz zusammen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unter der Veröffentlichung »IT-Grundschutz-M 2.74 - Geeignete Auswahl eines Paketfilters« (s. unter »Links« #01) folgende Unterteilung getroffen:

1. Statische Paketfilter

Statische Paketfilter werten IP-Kopf-Informationen eines Pakets wie Quell-/Ziel-IP-Adresse aus. Zur Erinnerung: die IP-Adresse lässt sich mit der postalischen Adresse einer Person (z.B. Krefelder Straße 12; 70376 Stuttgart; Deutschland) vergleichen. Anhand dieser Adresse lässt sich ein Paket weltweit zustellen.

2. Dynamische Paketfilter

Dynamische Paketfilter nennt man auch Stateful-Inspection-Filter. Sie erweitern die Funktionalität von statischen Paketfiltern und stellen einen Kommunikationskontext her. So unterscheiden sie zwischen Paketen für den Verbindungsaufbau und solchen, die als Antwort zugehörig zu einer Anfrage gesendet wurden. Für eine bestimmte Zeitspanne werden Quell-IP-Adresse und Quell-Portnummer aus dem vertrauenswürdigen Netz gespeichert, damit die Antwort-Pakete dorthin weitergeleitet werden können. Das erlaubt der dynamische Filter allerdings nur, solange die Wartezeit nicht überschritten wird. Gegenüber statischen Paketfiltern arbeiten dynamische Paketfilter automatisch und lassen - je nach erkanntem Verbindungsmuster - Pakete zu oder blockieren diese.

3. Appliances

Bei »appliances« (Geräteanwendungen) handelt es sich um Geräte, die vom Hersteller für den bestimmten Einsatz als Paketfilter produziert und voreingestellt wurden. Die Konfiguration ist bei dem Gerät damit leichter, allerdings weniger an individuelle Erfordernisse anpassbar. In der Praxis sind »appliances« für einen festgelegten Zeitraum gültig und unterstützen einen bestimmten Funktionsumfang (Bild 22).

Die in Bild 22 dargestellte Anwendung stammt von dem Unternehmen »Watchguard« und ist als Sicherheitslösung über den Vertriebspartner »BOC« (www.boc.de) erhältlich. Das Gateway »Firebox T35« wird mit Sicherheitsfunktionen und Supportdiensten angeboten, die über verschiedenen Zeiträume zur Verfügung stehen. Bei der »Basic Security Suite« stehen u.a. Web-Blocker, Gateway Antivirus, Intrusion-Prevention-Services (dazu gleich mehr) und einige andere Anwendungen zur Verfügung.

Funktionsgrenzen von Paketfiltern

Generell erlauben Paketfilter also das inhaltliche Durchsuchen von Paketen und Steuern von Datenströmen. In der Praxis reicht das allerdings nicht aus. Stellen Sie sich vor, Sie sind Mitarbeiter des Einkaufs. Bestellungen werden über Sie getätigt. Sie haben eine Liste von Lieferanten, von denen Artikel bezogen werden können und die als zuverlässig gelten. Kommt ein Paket im Wareneingang an, überprüfen Sie, wann und von wem es bestellt wurde. Das Paket wird auch auf Vollständigkeit und Unversehrtheit kontrolliert, bis es an den Adressaten weitergegeben werden kann. Das Beispiel zeigt vereinfacht die Aufgaben eines Paketfilters. Was passiert mit Bestellungen, die doppelt oder dreifach ...

