Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Das Aufstellen und die notwendige Aktualisierung der Filterregeln für eine Firewall ist keine einfache Aufgabe. Der Administrator muß dafür fundierte Kenntnisse der eingesetzten Protokolle besitzen und entsprechend geschult werden.
Beim Aufstellen der Filterregeln sollten folgende Punkte beachtet werden:
Beispiel:
Die folgende Tabelle enthält Filterregeln für das interne Interface eines Paket-Filters zwischen einem internen Netz und einem Screened-Subnet, also einem Teilnetz, das sich zwischen dem internen und dem externen Netz befindet und die Verbindungen zwischen diesen kontrolliert (siehe auch Abb. 1 in M 2.77 Sichere Anordnung weiterer Komponenten ).
Die Einträge enthalten die erlaubten Verbindungen, dabei bezeichnet der obere Eintrag den Quellport und der untere Eintrag den Zielport.
Dies bedeutet beispielsweise, daß der interne Mail-Server mit TCP von einem Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen Mail-Servers im Screened-Subnet zugreifen darf. Ports mit einer Portnummer > 1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports mit niedrigeren Portnummern, die als privilegiert bezeichnet werden, da nur privilegierte Benutzer, also solche mit Root-Berechtigung, Verbindungen mit diesen Ports aufbauen dürfen.
Diese Tabelle muß dann in entsprechende Filterregeln umgesetzt werden. Dies ist häufig nicht einfach und muß deshalb sehr genau kontrolliert werden. Durch regelmäßige Tests muß überprüft werden, daß alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muß sichergestellt werden, daß nur die Dienste zugelassen werden, die in der Sicherheitspolitik vorgesehen sind.
Für die Regeln eines Application-Gateways sind analoge Tabellen zu erstellen und in die entsprechenden Filterregeln umzusetzen.
Beispiel:
Die Benutzerin Frau Beispiel darf die Befehle RETR und STOR des Dienstes FTP benutzen, d. h. sie darf über FTP Dateien laden und senden, während Herr Mustermann nur Dateien laden darf.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .