IT-GSHB 2000 - Auswahl und Implementation geeigneter Filterregeln

M 2.76 Auswahl und Implementation geeigneter Filterregeln

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Das Aufstellen und die notwendige Aktualisierung der Filterregeln für eine Firewall ist keine einfache Aufgabe. Der Administrator muß dafür fundierte Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult werden.

Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:

Die Regeln sollten so formuliert werden, daß alle Zugänge, die nicht explizit erlaubt werden, verboten sind.
Falls es Bedarf für eine benutzerspezifische Authentisierung gibt, muß geklärt werden, welche Benutzer sich im inneren Netz befinden, welche Dienste diese anwenden dürfen und welche Authentisierungsverfahren eingesetzt werden sollen.
Es müssen alle Rechner, die sich im inneren Netz befinden, berücksichtigt werden.
Es muß festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen. Wenn eine Organisation festgelegte Arbeitszeiten hat, Mitarbeiter z. B. nur zwischen 7.00 und 19.00 Uhr anwesend sein können, sollten außerhalb der üblichen Arbeitszeiten auch keine Verbindungen aufgebaut werden können.

Die Filterregeln sollten in einer Tabelle zusammengefaßt werden, deren eine Achse die Zielrechnernummern und deren andere Achse die Quellrechnernummern enthält. Die Einträge enthalten dann die erlaubten Portnummern, dabei ist die obere der Quell-, die untere der Zielport. Paket-Filter können die Überprüfung der Pakete unmittelbar nach dem Empfang oder vor der Weiterleitung durchführen. Hierbei sollte beachtet werden, daß eine Filterung der in den Paket-Filter eingehenden Pakete durchgeführt werden sollte. Außerdem müssen die Paket-Filter so konfiguriert werden, daß als Absenderadresse nur die Nummern der an dem Interface angeschlossenen Rechner zugelassen werden. Adressen, die mit den anderen Interfaces verknüpft sind, dürfen nicht durchgelassen werden. Dies verringert die Gefahr von IP-Spoofing Angriffen.

Beispiel:

Die folgende Tabelle enthält Filterregeln für das interne Interface eines Paket-Filters zwischen einem internen Netz und einem Screened-Subnet, also einem Teilnetz, das sich zwischen dem internen und dem externen Netz befindet und die Verbindungen zwischen diesen kontrolliert (siehe auch Abb. 1 in M 2.77 Sichere Anordnung weiterer Komponenten ).

Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der obere Eintrag den Quellport und der untere Eintrag den Zielport.

Dies bedeutet beispielsweise, daß der interne Mail-Server mit TCP von einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen Mail-Servers im Screened-Subnet zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegiert bezeichnet werden, da nur privilegierte Benutzer, also solche mit Root-Berechtigung, Verbindungen mit diesen Ports aufbauen dürfen.

Diese Tabelle muß dann in entsprechende Filterregeln umgesetzt werden. Dies ist häufig nicht einfach und muß deshalb sehr genau kontrolliert werden. Durch regelmäßige Tests muß überprüft werden, daß alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muß sichergestellt werden, daß nur die Dienste zugelassen werden, die in der Sicherheitspolitik vorgesehen sind.

Für die Regeln eines Application-Gateways sind analoge Tabellen zu erstellen und in die entsprechenden Filterregeln umzusetzen.

Beispiel:

Die Benutzerin Frau Beispiel darf die Befehle RETR und STOR des Dienstes FTP benutzen, d. h. sie darf über FTP Dateien laden und senden, während Herr Mustermann nur Dateien laden darf.