Grundlagen der Netzwerktechnik Teil I: Kommunikation - GWDG
Grundlagen der Netzwerktechnik Teil I: Kommunikation - GWDG
Grundlagen der Netzwerktechnik Teil I: Kommunikation - GWDG
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Paketfilter<br />
• Im Prinzip ein filtern<strong>der</strong> Router o<strong>der</strong> „Screening Router“<br />
• Filterung nach Kriterien<br />
– IP-Adressen<br />
– IP-Protokollen (UDP, TCP, ICMP u.a.)<br />
– TCP/UDP-Ports, ICMP-Typen<br />
– TCP-Flags (z.B. Verbindungsaufbau nur in eine Richtung erlaubt)<br />
– Eingangs- und/o<strong>der</strong> Ausgangs-Interface<br />
– Fragmente<br />
• Stateful Inspection (o<strong>der</strong> nicht)<br />
– einfache Paketfilter führen nicht über vorhandene <strong>Kommunikation</strong>en Buch,<br />
– lassen daher Pakete durch, die nur scheinbar zu einer bestehenden Verbindung<br />
gehören<br />
– Fragmente können so nicht wirklich behandelt werden<br />
– Dynamisch aufgebaute UDP-Kanäle (z.B. bei Videoübertragungen) können nicht<br />
sinnvoll gefiltert werden<br />
– Hier hilft nur eine Aufzeichnung des Zustands von Verbindungen und / o<strong>der</strong><br />
detailierte Kenntnis von Protokollen<br />
– also: Stateful Inspection<br />
Holger Beck – <strong>Grundlagen</strong> <strong>der</strong> <strong>Netzwerktechnik</strong> – Februar 2003 217<br />
Paketfilterbeispiele (1)<br />
• Filter auf Cisco-Router<br />
• Netz ohne Zugriff von außen<br />
interface Vlan6<br />
ip address 134.76.7.254 255.255.254.0<br />
ip access-group 161 in<br />
ip access-group 163 out<br />
access-list 161 permit ip 134.76.6.0 0.0.1.255 any<br />
access-list 161 permit ip 224.0.0.0 31.255.255.255 any<br />
access-list 161 deny ip any any<br />
access-list 163 deny ip 134.76.6.0 0.0.1.255 any<br />
access-list 163 permit tcp any any established<br />
access-list 163 permit ip 134.76.10.0 0.0.1.255 any<br />
access-list 163 permit ip host 134.76.22.1 any<br />
access-list 163 permit icmp any any echo<br />
access-list 163 permit icmp any any echo-reply<br />
access-list 163 permit icmp any any port-unreachable<br />
access-list 163 permit icmp any any time-exceeded<br />
access-list 163 deny tcp any any eq www<br />
access-list 163 deny ip any any<br />
Holger Beck – <strong>Grundlagen</strong> <strong>der</strong> <strong>Netzwerktechnik</strong> – Februar 2003 218