Inhaltsverzeichnis
Werbung
Fragmente
Manche Angriffe aus dem Internet versuchen, die Firewall durch fragmentierte Pakete (also in mehrere kleine Einheiten
aufgeteilte Pakete) zu überlisten. Zu den Haupteigenschaften einer Stateful Inspection gehört auch die Fähigkeit,
fragmentierte Pakete zu Re-assemblieren (wieder zusammenzusetzen), um anschließend das gesamte IP-Paket prüfen
zu können.
Das gewünschte Verhalten der Firewall kann zentral eingestellt werden. Dabei stehen folgende Möglichkeiten zur Auswahl:
1
Filtern: Die fragmentierten Pakete werden von der Firewall direkt verworfen.
1
Weiterleiten: Die fragmentierten Pakete werden ohne weitere Prüfung von der Firewall weitergeleitet, sofern die
gültigen Filtereinstellungen das zulassen.
1
Re-assemblieren: Die fragmentierten Pakete werden zwischengespeichert und wieder zu einem kompletten IP-Paket
zusammengesetzt. Das re-assemblierte Paket wird dann nach den gültigen Filtereinstellungen geprüft und entsprechend
behandelt.
Sitzungswiederherstellung
Die Firewall trägt in der Verbindungsliste alle aktuell erlaubten Verbindungen ein. Die Einträge verschwinden nach einer
bestimmten Zeit (Timeout) automatisch wieder aus der Verbindungsliste, wenn keine Daten über die Verbindung übertragen
werden und den Timeout erneuern.
Manchmal werden die Verbindungen gemäß den allgemeinen Aging-Einstellungen beendet, bevor die mit einer Anfrage
angeforderten Datenpakete von der Gegenstelle empfangen wurden. In diesem Fall steht möglicherweise in der
Verbindungsliste noch ein Eintrag für eine zulässige Verbindung, die Verbindung selbst ist aber nicht mehr vorhanden.
Der Parameter "Sitzungswiederherstellung" bestimmt das Verhalten der Firewall für Pakete, die auf eine ehemalige
Verbindung schließen lassen:
1
Verbieten: Die Firewall stellt die Sitzung auf keinen Fall wieder her und verwirft das Paket.
1
Verbieten für Default-Route: Die Firewall stellt die Sitzung nur wieder her, wenn das Paket nicht über die
Default-Route empfangen wurde.
1
Verbieten für WAN-Interfaces: Die Firewall stellt die Sitzung nur wieder her, wenn das Paket nicht über eines der
WAN-Interfaces empfangen wurde.
1
Erlauben: Die Firewall stellt die Verbindung grundsätzlich wieder her, wenn das Paket zu einer "ehemaligen"
Verbindung aus der Verbindungsliste gehört.
5
Da die Funktion der virtuellen Router auf der Auswertung der Schnittstellen-Tags basiert, müssen neben den
ungetaggten Default-Routen auch weitere Routen als „Default-Routen" einbezogen werden:
2
Wenn ein Paket auf einem WAN-Interface empfangen wird, dann gilt diese WAN-Schnittstelle für die Firewall
als Defaultroute, wenn entweder eine getaggte oder eine ungetaggte Defaultroute auf diese WAN-Schnittstelle
verweist.
2
Wenn ein Paket auf einem LAN-Interface empfangen wird und auf eine WAN-Schnittstelle geroutet werden soll,
dann gilt diese WAN-Schnittstelle als Defaultroute, wenn entweder die ungetaggte Defaultroute oder eine mit
dem Interface-Tag getaggte Defaultroute auf diese WAN-Schnittstelle verweist.
Ebenso greifen Defaultrouten-Filter auch, wenn sich die Defaultroute im LAN befindet. Hierbei gilt, dass der Filter
dann greift, wenn
2
ein Paket über ein getaggtes LAN-Interface empfangen wurde und über eine mit dem Interface getaggte
Default-Route gesendet werden soll, oder
2
ein Paket von einem weiteren Router in einem getaggten LAN-Interface empfangen wurde und eine mit dem
Interface-Tag versehene Default-Route zur Quelladresse des Pakets existiert, oder
2
ein Paket vom WAN empfangen wurde und auf eine beliebig getaggte Default-Route im LAN gesendet werden
soll
Referenzhandbuch
8 Firewall
483
Werbung
Inhaltsverzeichnis
