Linux-Firewalls Teil 4 – Paketfilter
Paketfilter sind die einfachste Form einer Firewall. Gleichzeitig bieten sie ein weites Einsatzfeld, wodurch sie in fast allen Firewalls Verwendung finden. In diesem Artikel wird die Geschichte der Paketfilter und die Funktionsweise, mit einem Schwerpunkt auf zustandslose Paketfilter gelegt.
Geschichte der Paketfilter
Der erste Paketfilter wurde im März 1989 auf der USENIX Summer Conference in Baltimore von Jeffrey Mogul vorgestellt. Vermarktet wurde dieser Paketfilter als Userspace-Programm Screend. Dieser erste Paketfilter konnte entscheiden ob ein Paket angenommen oder abgelehnt wird.
Funktionsweise eines Routers
Paketfilter sind nicht viel anderes als ein intelligenter Router. Ein normaler Router verschickt und empfängt Router einfach nur. Ein Paketfilter entscheidet jedoch wo ein Paket hingeht. Um das zu ermöglichen analysiert ein Paketfilter die Pakete und entscheidet ob er diese weitergeschickt oder verworfen werden.
Router und Paketfilter haben eine ähnliche Funktionsweise, weswegen seit Erfindung des Paketfilters mit diesen ausgestattet, ebenfalls sind die meisten Netzwerkbetriebssysteme mit Paketfiltern versehen.
Zu diesem Zweck werden meistens IP-Paketfilter verwendet. Diese sind in ihrer einfachsten Form auf die Analyse von IP-Paketen beschränkt. Zu diesem Zweck analysiert der Paketfilter die Paket-Header. Heutzutage können die meisten IP-Paketfilter bei Bedarf auch UDP-, TCP-, oder ICMP-Pakete anhand ihres Headers analysieren.
)
Anschließend wird auf die analysierten Pakete ein Regelwerk angewandt. Dieses wird Regel für Regel durchgearbeitet und wenn eine dieser Regeln zutrifft wird findet eine vordefinierte Aktion statt. Diese Aktionen können das Akzeptieren und weiterleiten des Pakets, das Verwerfen oder das Ablehnen des Pakets sein. Das Ablehnen des Pakets führt zu einer Fehlermeldung, die an den Absender geschickt wird.
Zustandslose Paketfilter
Der klassische zustandslose Paketfilter ist nicht dazu in der Lage, zu erkennen ob ein Paket aus einer aktiven oder einer inaktiven Verbindung stammt. Sattdessen wird jedes Paket einzeln analysiert und betrachtet, ohne auf den Zusammenhang zu achten. Aus diesem Grund ist es für den Administrator des Paketfilters wichtig bei der Festlegung des Regelwerks, sowohl die Regeln für Pakete des Servers als auch für Pakete des Clients zu berücksichtigen.
Quelle: Ralf Spenneberg – Linux-Firewalls, Sicherheit für Linux-Server und –Netzwerke mit IPv4 und IPv6 2 Auflage
Bildquelle: @satren
Hi Satren, vielen Dank für den Beitrag.
Jetzt weiß ich endlich was die Bezeichnungen UDP-, TCP-, oder ICMP. Es sind also Datenpakete !?!
Obwohl es immer noch sehr abstrakt für mich ist.
Gruß
Chapper
Ja, das Bild ist von mir.
Verwende es in meiner Vortragsreihe zu dem Thema.
Ja, es sind Datenpakete die mit verschiedenen Protokollen versendet werden.
Dazu kommt vllt nochmal ein Artikel, wenn ich ihn reinbekomme.
Und es ist erstmal abstrakt um einen Überblick zu ermöglichen. Die Reihe ist auf 40-70 Teile ausgelegt und geht später tiefer auf Firewalls, vor allem zustandsorientierte Paketfilter, ein.
Posted using Partiko Android
Wow, 40 bis 70 Teile.
Prima, ich freu mich drauf!
Ich muss dazu sagen, ich Versuche mich schon kurz zu halten.
Man könnte auch hunderte Beiträge dazu schreiben und nie alles abdecken.
Posted using Partiko Android
Das ist eigentlich die perfekte Länge. Ich übertreibe es häufig bei meinen Beiträgen etwas. Wahrscheinlich ist dies für die Leute (fachfremde vor allem) oft zu strapziös. Dein Text hatte die perfekte Länge, obwohl ich natürlich gern gewusst hätte wie diese Pakete charaktierisiert werden, aber das erklärst ja dann sicher in den nächsten 2 bis 70 Beiträgen :D
Ziemlich coole Idee jedenfalls, ich denke ich kann mir da eine Scheibe von abschneiden!
Gruß
Chapper
Das einzige Problem bei so langen Serien ist, dass man gerne etwas vergisst oder nicht Tief genug darauf eingeht. Wahrscheinlich werde ich am Ende nochmal einige Beiträge nachreichen, um Unklarheiten auszubessern.
This post has been voted on by the SteemSTEM curation team and voting trail. It is elligible for support from @curie.
If you appreciate the work we are doing, then consider supporting our witness stem.witness. Additional witness support to the curie witness would be appreciated as well.
For additional information please join us on the SteemSTEM discord and to get to know the rest of the community!
Please consider setting @steemstem as a beneficiary to your post to get a stronger support.
Thanks for having used the steemstem.io app. You got a stronger support!
Congratulations! This post has been upvoted from the communal account, @minnowsupport, by satren from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.
If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.