Filtern von ausgehenden Paketen

Das Filtern ausgehender Pakete ist - sofern den Usern des lokalen Netzes Vertrauen entgegen gebracht wird - deutlich unkritischer, als das Filtern eingehender Pakete. Auf der anderen Seite ist es natürlich in mancherlei Hinsicht trotzdem ratsam, auch diese Pakete einer Prüfung zu unterziehen, bevor man sie in die weite Welt entlässt. Auch hierzu folgt eine kurze Darstellung der jeweiligen Kriterien.

Filtern nach IP-Adressen

Auch hier unterscheiden wir wieder zwischen Absender- und Empfängeradresse. Beide Fälle bieten ein paar nennenswerte Kriterien für eine Paketfilterfirewall:

Filtern nach Absender-Adresse

Das Kriterium für die Senderadresse für abgehende Pakete ist simpel. Es muß sich um eine im lokalen Netz gültige Adresse handeln. Also entweder um einen bestimmten Adresspool, oder um eine klare Liste von Adressen, die wiederum entweder fest vergeben sind, oder von einem DHCP-Server verwaltet werden.

Bei einer Vergabe von Adressen über DHCP kommt es beim Aufbau der Verbindung zu einer speziellen Situation, die aber nur dann eine Rolle spielt, wenn sich der DHCP-Server außerhalb des zu schützenden Netzes befindet. Und das ist grundsätzlich keine gute Idee.

Filtern nach Empfänger-Adresse

Bei der Frage der Filterung nach der Empfänger-Adresse abgehender Pakete, gibt es zwei wesentliche Bereiche. Wir unterscheiden hier grundsätzlich, ob das Paket an einen Server im Internet gerichtet ist, oder ob es an einen Client im Internet geht, der einen Server im LAN angesprochen hatte.

1. Pakete an einen Server im Internet:
   Hier ist es möglich, bestimmte IP-Adressen oder DNS-Namen komplett zu sperren, weil es unerwünscht ist, daß aus dem LAN heraus diese Dienste angenommen werden. Es kann auch z.B. ein bestimmtes Protokoll (z.B. POP3 oder IMAP) an einen bestimmten Rechner gebunden werden, alle anderen Adressen werden nicht durchgelassen...
2. Pakete an einen Client im Internet:
   Unser Netz hat vielleicht ein paar öffentliche Server, die von jedem Client aus benutzt werden dürfen (Webserver, FTP-Server...), es hat aber andererseits auch Dienste im Angebot, die nur für bestimmte Rechner im Netz zur Verfügung stehen sollen. So etwa die Filiale in einer anderen Stadt, deren IP-Adresse wir kennen. In so einem Fall ist es durchaus sinnvoll, nicht nur die eingehenden Pakete, sondern eben auch die ausgehenden Pakete von der Firewall unterdrücken zu lassen.

Filtern nach Portnummern

Auch hier unterscheiden wir wieder zwischen Absender- und Empfängerport. Für ersteren ist zu bemerken, daß ein Absenderport eines Clients aus dm lokalen Netz grundsätzlich eine Portnummer aus dem unprivilegierten Bereich haben sollte, Serverprozesse des lokalen Netzes können wiederum nur die zugelassenen Ports benutzen. Hier haben wir wiederum eine doppelte Möglichkeit, zu verhindern, daß ungewollte Dienste ins globale Netz gelangen.

Die Empfängerports haben eine ähnliche Beschränkung. Wenn ein Serverprozess aus dem lokalen Netz ein Paket an einen Client im Internet schickt, so darf der Empfängerport nur ein unprivilegierter sein. Umgekehrt vermeiden wir das Senden von Paketen, mit privilegierten Portnummern von unseren Clients ins Internet.

Filtern nach TCP-Status-Flags

Wie bei den ankommenden Paketen, können wir auch bei den abgehenden Paketen die Statusflags nutzen, um zu entscheiden, ob ein Paket von einem Client oder von einem Server stammt.

• Wenn ein lokaler Client einen Dienst im Internet anspricht, dann ist im ersten Paket nur sein SYN-Flag gesetzt, nicht jedoch das ACK-Flag. Alle weiteren Pakete haben nur noch das ACK-Flag gesetzt, nicht jedoch das SYN-Flag.
• Wenn ein lokaler Server einen Dienst im Internet anbietet, dann sind im ersten Paket, das er verschickt beide Flags (SYN und ACK) gesetzt, alle weiteren Pakete haben nur das ACK-Flag gesetzt.