Ingress-Filter

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Mit einem Ingress-Filter werden, allgemein formuliert, Netze vor unerwünschtem Eingangsdatenverkehr geschützt. Im derzeitigen Sprachgebrauch ist mit Ingress-Filter speziell das Abblocken von Internet-Paketen mit gefälschten oder fehlerhaften Absenderadressen gemeint.

Funktionsweise[Bearbeiten]

Ein auf einem Router oder einer Firewall implementierter Ingress-Filter verhindert, dass IP-Pakete mit gefälschter Absenderadresse vom Außenrand eines Netzes ins Zentrum gelangen. Ziel ist es also, Pakete abzufangen, bevor sie in das eigentliche Netz gelangen. Voraussetzung ist, dass Router oder Firewalls alle externen Netze kennen, die sie an das Zentrum anschließen. Diese Vorbedingung ist bei korrekt eingerichteter Routingtabelle erfüllt. Ein Ingress-Filter lässt nur IP-Pakete mit bekannter Absenderadresse durch. Alle anderen werden verworfen.

Beispiel: Ein Service-Provider schließt das Netz 171.17.128.0/18 an das Internet an. Er weiß damit, dass sämtliche aus diesem externen Netz eintreffenden IP-Pakete eine Absenderadresse aus diesem Adressbereich haben müssen. Trifft jetzt aus diesem Netz ein Paket mit beispielsweise der Absenderadresse 192.168.130.7 ein, so liegt entweder ein Konfigurationsfehler oder ein Angriff vor. In beiden Fällen ist es sinnvoll, dieses Paket zu verwerfen, bevor es ins Internet gelangt.

Einrichtung[Bearbeiten]

Ingress-Filter können statisch eingerichtet werden, indem manuell alle externen Netze eines Service-Providers in eine Access-Liste aufgenommen werden, oder sie können automatisch aus der Routingtabelle generiert werden (Reverse Path Filtering). Fehlerhaft konfigurierte Filter können dazu führen, dass legitime IP-Pakete abgeblockt werden.

Die Firewall von OpenBSD, pf, erlaubt eine einfache Einrichtung eines solchen Filters. Mithilfe dieser Konfigurationszeile werden Pakete mit gefälschter Absenderadresse auf dem Netzwerkinterface em0 verworfen:

antispoof for em0

Einschränkungen[Bearbeiten]

Ingress-Filter bieten nur begrenzten Schutz. Gegen Angriffe mit einer Original-IP-Adresse sind sie völlig wirkungslos, ebenso bei gefälschten IP-Adressen aus dem gleichen Subnetz des Angreifers. Geht etwa eine Attacke von der IP-Adresse 171.17.130.5 aus, so würden Pakete mit der gefälschten IP-Adresse 171.17.130.99 unbeanstandet die Ingress-Filter passieren. Aufgrund derartiger Einschränkungen und dem in manchen Fällen aufwändigen Betrieb werden Ingress-Filter in der Praxis nur selten eingesetzt. Es gibt allerdings auch Angriffsvarianten, vor denen Ingress-Filter wirksamen Schutz bieten. Ein Beispiel hierfür ist die DNS Amplification Attack.

Der umgekehrte Weg, also vom Netzzentrum in Richtung Außenbereich, kann mit einem Ingress-Filter allgemein nicht abgesichert werden, da nicht zwischen gültigen und ungültigen Absenderadressen unterschieden werden kann. Es ist aber möglich, durch Filter den Spezialfall zu verhindern, dass vom Netzzentrum Pakete eintreffen mit der eigenen, externen Absenderadresse.

Literatur[Bearbeiten]

  • RFC 2267Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (englisch)

Weblinks[Bearbeiten]