Besondere Protokolle - Lancom Systems LCOS 9.10 Referenzhandbuch

über welches Protokoll und welchen Port eine Verbindung aktuell erlaubt ist. Darüber hinaus wird in dieser Liste
festgehalten, wie lange der Eintrag noch in der Liste stehen bleibt und welche Firewall-Regel den Eintrag erzeugt
hat. Diese Liste ist sehr dynamisch und permanent "in Bewegung".
1 Die Filterliste wird aus den Regeln der Firewall erzeugt. Die darin enthaltenen Filter sind statisch und ändern sich
nur beim Hinzufügen, Bearbeiten oder Löschen von Firewall-Regeln.
Alle Listen, die von der Firewall zur Prüfung der Datenpakete herangezogen werden, basieren also letztendlich auf den
Firewall-Regeln (

8.3.2 Besondere Protokolle

Ein wichtiger Punkt bei der Verbindungsüberwachung ist die Behandlung von Protokollen, die dynamisch Ports und /
oder Adressen aushandeln, über die die weitere Kommunikation passiert. Beispiele für diese Protokolle sind FTP, H.323
oder auch viele UDP-basierte Protokolle. Hier ist es nötig, dass zusätzlich zu der ersten Verbindung ggf. weitere
Verbindungen geöffnet werden. (siehe dazu auch
UDP-Verbindungen
UDP ist eigentlich ein zustandsloses Protokoll, trotzdem kann man auch bei UDP-basierten Protokollen von einer nur
kurzfristigen Verbindung sprechen, da es sich meistens um Request/Response-basierte Protokolle handelt, bei denen ein
Client seinen Request an den Well-Known Port des Servers (z. B. 53 für DNS) richtet, und dieser darauf den Response
wieder an den vom Client gewählten Quellport sendet:
Port Client
12345
12345
Wenn der Server hingegen größere Datenmengen senden (z. B. TFTP) will und auf dem Well-Known Port nicht zwischen
Requests und Acknowledges unterscheiden möchte oder kann, so schickt er zunächst das Response-Paket an den Quellport
des Absenders. Dabei setzt er aber als eigenen Quellport einen freien Port ein, auf dem er nun mit dem Client Daten
austauschen möchte:
Port Client
12345
12345
12345
12345
Während sich die Datenübertragung nun über die Ports 12345 und 54321 abspielt, kann der Server auf dem Well-Known
Port (69) weitere Requests annehmen. Wenn das Gerät eine "Deny-All-Strategie" verfolgt, wird durch die erste Anfrage
des Clients ein Eintrag in der Verbindungsliste erzeugt, der nur die Datenpakete des Servers auf Port 69 zulässt. Die
Antwort des Servers würde dabei also einfach verworfen. Um dies zu verhindern, wird beim Anlegen des Eintrags in der
Verbindungsliste der Zielport der Verbindung zunächst freigehalten, und erst beim Eintreffen des ersten Antwortpakets
gesetzt, wodurch beide möglichen Fälle einer UDP Verbindung abgedeckt werden.
Die Parameter der Firewall-Regeln
Verbindung
Request
Response
Verbindung
Request
Response
AckData
Data/Ack
auf Seite 513).
Unterschiedliche Typen von Firewalls
Port Server
53
53
Port Server
69
54321
54321
54321
Referenzhandbuch
8 Firewall
auf Seite 503).
509