Paketfilterung
Was ist Paketfilterung?
Bei der Paketfilterung wird anhand vordefinierter Regeln entschieden, ob IP-Pakete an einer Netzwerkschnittstelle weitergeleitet oder blockiert werden. Typische Kriterien sind die Quell- und Zieladresse, das Transportprotokoll (TCP, UDP, ICMP) sowie die Ports. Paketfilter sind ein Kernbestandteil von Firewalls und werden auf Routern, Security-Gateways und Endsystemen eingesetzt. Während die Filterung primär auf den Schichten 3 und 4 des OSI-Modells operiert, prüfen Application-Layer-Gateways Inhalte auf höheren Schichten.
Stateless vs. Stateful
Bei Paketfiltern ist die Unterscheidung zwischen stateless und stateful für den Funktionsumfang und die Fehlertoleranz entscheidend.
- Stateless: Prüft nur die Felder des einzelnen Pakets. Entscheidungen basieren auf sichtbaren Header-Informationen. Antworten müssen explizit erlaubt werden.
- Stateful: Nutzt Zustandsinformationen (Connection Tracking). Ausgehende Verbindungen und zugehörige Rückpakete werden automatisch erkannt und ephemeral (temporäre, dynamische) Ports müssen nicht manuell freigegeben werden. In Unternehmensnetzen ist Stateful Filtering der Standard.
Regeln, Aktionen und Regelreihenfolge
Bevor ein Regelsatz sinnvoll gepflegt werden kann, muss klar sein, wie Regeln ausgewertet werden und welche Aktionen zur Verfügung stehen.
- Match-Prinzip: Üblich ist die erste passende Regel gewinnt. Spezifische Regeln stehen vor generischen, Catch-all-Einträge stehen am Ende.
- Aktionen: Neben ACCEPT (zulassen) und DROP (still verwerfen) existiert REJECT (aktiv ablehnen, etwa per ICMP unreachable oder TCP RST). DROP erhöht die Unsichtbarkeit, REJECT sorgt für ein schnelleres Fehlerverhalten auf Client-Seite. Die Wahl ist kontextabhängig.
- Logging: Insbesondere unerwartete Drops/Rejects sollten protokolliert werden. Dabei gilt: Ausreichend für die Analyse, aber Drosselung gegen Log-Fluten.
Policy‑Modelle (Default‑Verhalten)
Bevor einzelne Services freigeschaltet werden, wird das Standardverhalten der Firewall definiert. Dieses Grundprinzip hat Auswirkungen auf die Sicherheit und den Betriebsaufwand.
- Default-Deny (Whitelist): Nur explizit erlaubte Pakete passieren, alles andere wird verworfen. Dies bietet höchste Sicherheit, erfordert jedoch gepflegte Regeln und ein sauberes Änderungsmanagement.
- Default-Allow (Blacklist): Nur explizit verbotene Pakete werden blockiert. Diese Einstellung ist komfortabel, aber riskant, da neue oder übersehene Dienste ohne Prüfung erreichbar sind.
- Assistenz- und Lernmodi: Dies ist insbesondere bei Personal Firewalls auf Endpunkten der Fall. Dabei werden Regeln vorgeschlagen oder temporär generiert. In klassischen Netzwerk‑Firewalls ersetzt das keinen Review‑ und Freigabeprozess.
NAT und Paketfilterung
Network Address Translation (NAT) setzt Adressen und Ports um (SNAT/DNAT/PAT) und wird häufig gemeinsam mit Paketfilterung eingesetzt, etwa um interne Adressen zu verbergen oder Services per DNAT in einer DMZ zu veröffentlichen.
Wichtig ist die klare Einordnung: NAT ist keine Sicherheitsregel, sondern eine Adress-/Portumsetzung. Sicherheitsrelevant bleibt die Regel des Paketfilters: Ein fehlkonfiguriertes DNAT ohne restriktive Eingangsregeln öffnet unnötige Angriffsflächen.
IPv6‑Besonderheiten
IPv6 stellt eigene Anforderungen an Paketfilter, die sich von denen bei IPv4 unterscheiden. Die folgenden Punkte helfen dabei, typische Stolpersteine zu vermeiden und Richtlinien korrekt zu entwerfen:
- Kein klassisches NAT als Sicherheitsmerkmal: Endgeräte erhalten oft global routbare Adressen. Sicherheit entsteht durch klare Richtlinien und Stateful-Filter, nicht durch Adressübersetzung. NPTv6 (Prefix Translation) existiert, ersetzt aber keine Firewall.
- ICMPv6 ist essenziell: Neighbor Discovery und Path-MTU-Discovery benötigen ICMPv6. Ein zu restriktives Blockieren kann die Konnektivität beeinträchtigen. Erlaubte Typen/Codecs sollten gezielt gefiltert werden, wobei RA- und DHCPv6-Verkehr sowie Schutzmechanismen wie RA-Guard zu berücksichtigen sind.
- Extension Headers: Zusätzliche Header (zum Beispiel Fragment, Hop-by-Hop, Routing) erschweren die Inspektion. Ungewöhnliche/unerwartete Kombinationen sollten eingeschränkt werden, da Fragmentierung Umgehungen begünstigen kann – daher sollten klare Regeln und Dropping-Strategien definiert werden.
- Adressraum und Exposure: Der große Adressraum erschwert zufälliges Scannen. Priorität haben DNS-Hygiene, Asset-Inventar und präzise Exponierung.
Zonen, Richtungen und Service‑Design
Ein tragfähiges Regelwerk orientiert sich an Netzwerkzonen und Verkehrsrichtungen. Das Ziel besteht in einer nachvollziehbaren Segmentierung und minimalen Berechtigungen.
- Zonenmodell: Trennung von WAN, DMZ und LAN, gegebenenfalls weitere Segmente für OT, Gäste oder besonders schützenswerte Systeme.
- Richtungsbezug: Eingehende Verbindungen restriktiv, ausgehende Verbindungen kontrolliert – etwa auf definierte Zielnetze und Protokolle begrenzt.
- Service-Exponierung: Für veröffentlichte Dienste (zum Beispiel Web in der DMZ) gelten So spezifisch wie möglich-Regeln: feste Ziele, Ports und Protokolle, optional Geo- oder Zeitfenster.
Best Practices für stabile Regelwerke
Bevor Regeln in Betrieb genommen werden, helfen einige Grundsätze, Stabilität und Wartbarkeit sicherzustellen.
- Spezifisch vor generisch: Präzise Kriterien (Host/Port) sollten vor Netzen/Protokoll-Gruppen platziert werden, um unerwartete Übereinstimmungen zu verhindern.
- Ephemeral Ports berücksichtigen: Bei TCP/UDP-Sessions sorgen Stateful-Filter für die automatische Erlaubnis der Rückrichtung; andernfalls müssen die passenden Portbereiche freigeschaltet werden.
- Change- und Review-Prozess: Jede Regel erhält einen Zweck, einen Antragsteller und ein Ablaufdatum. Regelwerke werden regelmäßig rezertifiziert und veraltete Einträge werden entfernt.
- Test- und Rollback-Plan: Änderungen zunächst in Wartungsfenstern oder Staging testen; bei Fehlverhalten schnell zurückbauen.
- Beobachtbarkeit: Sinnvolle Log-Level, Metriken (beispielsweise Drop-Raten) und Alarmierung bei Anomalien. Log-Aggregation und -Retention planen.
Moderne Umgehungstechniken und Gegenmaßnahmen
Angreifer nutzen Kapselung und Verschlüsselung, um rein portbasierte Richtlinien zu umgehen. Paketfilterung bleibt wichtig, benötigt aber Ergänzungen auf höheren Schichten.
- Tunneling über Standardprotokolle: DNS- oder ICMP-Tunneling sowie die Kapselung von Verkehr in HTTPS/HTTP/3 (QUIC) unterläuft einfache Port-Richtlinien.
- Port-Ausweichtechniken: Dienste werden absichtlich auf unüblichen beziehungsweise freigegebenen Ports betrieben (zum Beispiel SSH auf 443/TCP oder 80/TCP beziehungsweise QUIC auf 443/UDP). Dadurch können rein portbasierte Allow-Listen umgangen werden. Wirksamer sind App-/Protokollerkennung (DPI), TLS-Port-Enforcement beziehungsweise Proxy-Pflicht und Ziel-/FQDN-Allowlists.
- Verschlüsselter DNS-Verkehr: DoH/DoT kann lokale DNS-Policies umgehen. Gegenmaßnahmen sind Resolver-Allowlists, erzwungene Forwarder oder Proxy-Durchsetzung.
- Gegenmaßnahmen im Verbund: Egress-Filter mit Ziel-/FQDN-Allowlists (Fully Qualified Domain Name), Applikations-/NGFW-Kontrollen mit DPI, DNS-Filter, gegebenenfalls TLS-Inspection (rechtlich/organisatorisch klären) sowie Anomalie-Monitoring.
- Geofencing: Regeln nach Regionen/Ländern (beispielsweise nur EU-Präfixe) reduzieren die Angriffsoberfläche. Lan beeinträchtigt werden durch VPN/Proxys und Geolokationsungenauigkeit. Geofencing sollte daher nur ergänzend eingesetzt werden.
Grenzen der Paketfilterung
Reine Paketfilter sehen standardmäßig nur Layer-3/4-Informationen. Für Protokollvalidierung, Anomalieerkennung, Benutzer-/Anwendungsbezug oder Inhaltsprüfung sind zusätzliche Funktionen erforderlich, etwa Application-Layer-Gateways/Proxies, IDS/IPS oder NGFW-Features mit Deep Packet Inspection. Ebenso ersetzt die Paketfilterung kein Härtungskonzept auf Host-Ebene (Updates, Least Privilege, sichere Standardeinstellungen .
Beispiele für Implementierungen
Die Konzepte lassen sich auf verschiedenen Plattformen umsetzen. Dabei variieren Syntax und Feature-Tiefe, die Grundprinzipien bleiben jedoch gleich.
- Linux: nftables (moderner Nachfolger von iptables), oft über firewalld/ufw verwaltet. Unterstützt werden stateful Filtering, NAT und Logging.
- Cisco: Access Control Lists (ACL) auf IOS/IOS-XE sowie ASA/Firepower für paketbasierte Steuerung; NGFWs ergänzen App-/User-Objekte und DPI.
- Palo Alto Networks: Zonenbasierte Richtlinien mit App-ID/User-ID, getrennten NAT-Regeln und Threat-Prevention, stateful by default.
Fazit
Die Paketfilterung bleibt die Basis jeder Netzwerksicherheitsarchitektur. In der Praxis hat sich ein stateful, zonenbasiertes Design mit Default-Deny, sorgfältig kuratierten Regeln und abgestuftem Logging bewährt. NAT ist ein häufiger Begleiter, aber kein Ersatz für klare Richtlinien. Wer seine Regelwerke diszipliniert pflegt, Änderungen sorgfältig testet und für ausreichende Sichtbarkeit sorgt, kann eine robuste Sicherheit bei guter Betriebseffizienz erreichen.