STYX Logo  STYX.
 
 
Einleitung
Sicherheit
Firewall-Markt
Technologien
Gateway auf Anwendugsebene
Produktbeschrieb
Sicherheitsmekmale
Vorteile
Anwendungsbeispiele
Technische Information
Terminologie
 
Home
 
 
 

 

Paketfilter

Paketfilter sind die Firewalls der ersten Generation. Sie leiten Datenpaketewischen internen und externen Hosts und selektionieren dabei zwischen erlaubten und nicht erlaubten Transfers, je nach Sicherheitsrichtlinien des Unternehmens. Paketfilter sind herkömmliche Router, welche programmiert sind, gewisse Sicherheitsrichtlinien durchzusetzen. Solche Router werden auch «Screening Router» und/oder «External Router» genannt, wenn Sie auf der Internet-Seite Ihres Firewalls eingesetzt werden, oder «Choke Router» und/oder «Interior Router», wenn Sie auf der Intranet-Seite zur Anwendung kommen.

Nachfolgend einige Programmiermöglichkeiten für Screening Router:

  • Sämtliche eingehenden Verbindungen von Systemen ausserhalb des internen Netzwerks, ausser SMTP Verbindungen, WWW und DNS, werden gesperrt.

  • Sperren sämtlicher Verbindungen von und zu bestimmten Systemen.

  • Aktivieren von Secure Shell und FTP-Diens- ten, sperren «gefährlicher» Dienste (TFTP, RPC, r-Dienste, etc.).

Zum besseren Verständnis der Paketfiltertechnik dient der Vergleich zwischen einem herkömmlich eingesetzten, normalen Router und einem Screening Router:Der normale Router schaut auf die Destinationsadresse des Datenpakets und entscheidet, ob er das Paket weiterleiten kann. Anschliessend wählt er den besten Weg zur Datenbeförderung aus.Der Screening Router nimmt sich das Datenpaket genauer unter die Lupe. Er entscheidet nicht nur, ob er das Paket weiterleiten kann, sondern auch, ob er es weiterleiten soll. Die Entscheidung hängt natürlich von den implementierten Sicherheitsrichtlinien des Unternehmens ab.Auf dem Screening Router lastet eine grosse Verantwortung: Er ist nicht nur für den Verkehr der Datenpakete, sondern auch für die Sicherheit des gesamten Systems verantwortlich. Wenn er fällt, wird das gesamte Netzwerk exponiert.Die Paketfiltertechnik ist sehr schnell und führt zu keinen merkbaren Arbeitsverzögerungen für den Anwender. Allerdings kontrolliert diese Technik die Datenpakete nur auf den elementarsten (untersten) OSI-Stufen und kann dementsprechend nicht benutzer- oder transaktionsorientierte Sicherheit bewerkstelligen. Paketfilter bieten einen minimalen Schutz ihres Netzwerkes.