Ingress-Filter

Verhindern von IP-Spoofing und DoS-Attacken

In der einfachsten Variante verwendet ein Ingress-Filter eine Liste mit erwünschten IP-Adressen, die auf Ressourcen im Netzwerk zugreifen dürfen. Eine solche Liste kann aber auch dazu verwendet werden, unerwünschte Adressen von vorneherein zu blockieren.

Ein Ingress-Filter nutzt dazu die Fähigkeit von am Netzwerk-Edge platzierten Routern, um IP-Adressen auf dem Layer 2 zu filtern. Damit lässt sich Traffic blockieren, der mit hoher Wahrscheinlichkeit auf Schaden ausgelegt ist. Ein Ingress-Filter trifft seine Entscheidungen je nachdem, ob der Inhalt des Headers eines Datenpaketes bestimmten vorgegebenen Kriterien entspricht oder nicht. Dazu untersucht er verschiedene Attribute wie zum Beispiel die als Absender angegebene IP-Adresse. Wenn er diese Adresse nicht als gültig erkennt, weil sie etwa nicht dem angegebenen Netzwerk entspricht, dann stuft er sie als „gefälscht“ ein und verwirft das Datenpaket.

Auch auf vielen Switches werden Ingress-Filter eingesetzt. Hier werden sie unter anderem genutzt, um schädlichen Traffic in einem VLAN (Virtual LAN) auszufiltern. So soll beispielsweise VLAN-Hopping verhindert werden. In einem VLAN verwirft der Ingress-Filter dann alle Frames, deren angegebene Ports nicht mit einem bekannten VLAN-Teilnehmer übereinstimmen.

Wie ein Ingress-Filter funktioniert

Zu den von Ingress-Filtern häufig blockierten Ressourcen gehören:

• IP-Adressen, die im internen Netzwerk bereits im Einsatz sind. Auf diese Weise kann er verhindern, dass ein Angreifer eine schlecht formulierte Firewall-Regel missbraucht, um sich mit einer vermeintlich internen IP-Adresse einzuschleichen.
• IP-Adressen, die privat sind. Dadurch wird böswilliger Traffic blockiert, der von einem schlecht konfigurierten Host im Internet kommt oder der von einem Angreifer stammt, der eine Adresse gefälscht hat,
• So genannte Loopback-Adressen. Diese werden in der IT eingesetzt, um zum Beispiel die Erreichbarkeit von Hosts zu prüfen. Auch mit einer solchen Regel können Angriffe abgewehrt werden, die in diesem Fall auf der Fälschung einer Loopback-Adresse beruhen und die ebenfalls durch eine mangelhaft konfigurierte Firewall möglich sind.
• IP-Adressen, die für Multicasts verwendet werden. Dadurch kann nicht erwünschter Multicasts-Traffic verhindert werden, bei dem es sich nicht selten um Spam handelt.
• IP-Adressen, die eigentlich als Service- oder Managementadresse im Netzwerk genutzt werden. Dieser Filter sorgt dann dafür, dass Angreifer aus dem öffentlichen Internet nicht auf Netzwerkdienste zugreifen können, die auf dem Applikations-Layer und höheren Schichten laufen.

Darüber hinaus setzen viele Admins immer wieder ganze IP-Bereiche auf eine Whitelist, mit denen das Unternehmen geschäftliche Verbindungen hat. Andere Gebiete zum Beispiel aus immer wieder für Attacken genutzten Regionen auf der Welt, mit denen keine Verbindungen unterhalten werden, werden dagegen auf eine Blacklist gesetzt. Im Internet finden sich mehrere zum Teil sogar kostenlose Listen, die als Basis für eigene Access Control Lists (ACLs) in den am Netzwerk-Edge untergebrachten Routern genutzt werden können.

Ingress-Filter versus Egress-Filter

Ingress-Filter sind nur eine mögliche Methode, um Datenpakete zu filtern. Das Gegenteil von Ingress nennt sich Egress. Ein Egress-Filter unterwirft die ausgehenden Datenpakete einer besonderen Kontrolle. Er erlaubt zum Beispiel durch eine von einem Admin verfasste Regel nur explizit erwünschten Datenpaketen, das Netzwerk zu verlassen. Egress-Filter werden also ebenfalls eingesetzt, um unerwünschte Aktivitäten zu verhindern. Ein Beispiel dafür sind etwa infizierte Rechner im internen Netz, die sensible Geschäftsdaten an externe Hosts übertragen sollen. Egress-Filter können darüber hinaus verwendet werden, um Mitarbeiter am Besuch unerwünschter Webseiten zu hindern. Ein Beispiel dafür sind Webseiten, auf denen während der Arbeitszeit Online-Games gespielt werden können.