Schutzwall ohne Löcher

Arbeitsweise von Paketfiltern

Das Einbindungsmodul integriert das aktive Firewall-Element in das Kommunikationssystem. Beim Paketfilter erfolgt das oberhalb der Netzzugangsebene, beim Anwendungs-Gateway für die Proxies oberhalb der Ports (Transportebene). Die Integration muß so erfolgen, daß die Kommunikationsdaten nicht am Modul vorbeifließen können. Deshalb ist diese Einbindung sicherheitskritisch und vor allem bei Software-Lösungen problematisch, die auf Standardbetriebssystemen aufbauen.

Der Paketfilter analysiert und kontrolliert die ein- und ausgehenden Pakete auf der Netzzugangsebene, der Netzwerk- sowie der Transportebene. Er entkoppelt also die Netze physikalisch, interpretiert den Inhalt der Pakete und verifiziert, ob die Daten in den Headern der Kommunikationsebenen den definierten Regeln entsprechen. Diese Regeln werden so definiert, daß nur die notwendige Kommunikation erlaubt ist und bekannte sicherheitskritische Einstellungen vermieden werden, etwa die IP-Fragmentierung.

Auf den Kommunikationsebenen finden unterschiedliche Überprüfungen statt. Die Prüfinformationen werden dem Regelwerk (Access-Liste, Rechteliste) entnommen und mit den Analyse-Ergebnissen verglichen. Bei einem Verstoß gegen die Regeln wird dies als sicherheitsrelevantes Ereignis protokolliert und, falls diese Option eingerichtet ist, eine Meldung mit den Protokolldaten des Ereignisses an das Security-Management übermittelt.

Paketfilter dienen zum Aufbau von Hochsicherheits-Firewalls (High-Level Security Firewalls) und zur kontrollierten Kommunikation im Intranet. Für diese Anwendungen ist der Einsatz von Paketfiltern empfehlenswert, die gleichzeitig verschlüsseln können. Dies ist eine wirkungsvolle Komponente, mit der sich sichere und beherrschbare Internet- und Intranet-Anwendungen aufbauen lassen.