Filter des Vigor paketfilters

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Filter des Vigor paketfilters

Beitragvon vigor32 » So 02.04.2006 - 20:11

hallo forum,

ich habe eine Frage zum blockieren meines vigor 2900

wie, also nach welchen prinzip filtert (blockiert) der Paketfilter ausführbare Inhalte, java, active x, multimedia inhalte, cookies,.

der filtert doch auch nur auf der Transportschicht also klassisches "stateful filtering"

danke für hilfreiche erklärung
vigor32
Grünschnabel
 
Beiträge: 3
Registriert: So 02.04.2006 - 20:05

Beitragvon kdd » Mo 03.04.2006 - 17:06

Moin,
ich habe eine Frage zum blockieren meines vigor 2900
Wer blockiert was? Wie willst du den Vigor denn blockieren ? :P

wie, also nach welchen prinzip filtert (blockiert) der Paketfilter ausführbare Inhalte, java, active x, multimedia inhalte, cookies,.
Eben nicht mit dem Paketfilter, sondern mit Hilfe des einstellbaren Contentfilters; schon mal im Menue geschaut? Da gibts den "Enable URL Access Control" den "Not allow the web surfing by IP address" die "Blocking Keyword List" mit den Keyword's/URL's und den "Enable Restrict Web Feature" Letzterer ist in der Lage Java, Active X oder ZIP/EXE Dateierweiterungen zu erkennen. Inwieweit er sich auch den Inhalt anschaut kann ich nicht sagen. Eher denke ich an eine einfache Dateierweiterungsfilterung.

der filtert doch auch nur auf der Transportschicht also klassisches "stateful filtering"
Der Contentfilter nicht, der schaut sich Daten mindestens der Darstellungsschicht (OSI Layer 6) an, um anhand der Dateierweiterungen entsprechende Filterung vorzunehemen.
Der "normale" IP Filter macht natürlich klassische Filterung nach IP, Port und Zustand. Aber selbst der Zustand ist schon so'ne Sache beim Vigor. Er ist z.B. nicht in der Lage aktives FTP auf einem anderen als dem Standardports zu machen. Der Vigor kann also nur den "echten" FTP mit statefull Inspection bearbeiten. Allerdings macht er das selbständig, ohne dass ein Administrator ihm das sagen muss. Einzige Administrationsmöglichkeit ist das "Keep State" Kästchen in den "normalen" Filterregeln auf OSI Layer 3 und 4.

Was soll denn an den eingesetzten Prinzipien anders sein als bei anderen Filtern? Da macht der Vigor sicherlich keine Ausnahme.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Danke

Beitragvon vigor32 » Di 04.04.2006 - 08:47

kdd hat geschrieben:Moin,
ich habe eine Frage zum blockieren meines vigor 2900
Wer blockiert was? Wie willst du den Vigor denn blockieren ? :P

wie, also nach welchen prinzip filtert (blockiert) der Paketfilter ausführbare Inhalte, java, active x, multimedia inhalte, cookies,.
Eben nicht mit dem Paketfilter, sondern mit Hilfe des einstellbaren Contentfilters; schon mal im Menue geschaut? Da gibts den "Enable URL Access Control" den "Not allow the web surfing by IP address" die "Blocking Keyword List" mit den Keyword's/URL's und den "Enable Restrict Web Feature" Letzterer ist in der Lage Java, Active X oder ZIP/EXE Dateierweiterungen zu erkennen. Inwieweit er sich auch den Inhalt anschaut kann ich nicht sagen. Eher denke ich an eine einfache Dateierweiterungsfilterung.

der filtert doch auch nur auf der Transportschicht also klassisches "stateful filtering"
Der Contentfilter nicht, der schaut sich Daten mindestens der Darstellungsschicht (OSI Layer 6) an, um anhand der Dateierweiterungen entsprechende Filterung vorzunehemen.
Der "normale" IP Filter macht natürlich klassische Filterung nach IP, Port und Zustand. Aber selbst der Zustand ist schon so'ne Sache beim Vigor. Er ist z.B. nicht in der Lage aktives FTP auf einem anderen als dem Standardports zu machen. Der Vigor kann also nur den "echten" FTP mit statefull Inspection bearbeiten. Allerdings macht er das selbständig, ohne dass ein Administrator ihm das sagen muss. Einzige Administrationsmöglichkeit ist das "Keep State" Kästchen in den "normalen" Filterregeln auf OSI Layer 3 und 4.

Was soll denn an den eingesetzten Prinzipien anders sein als bei anderen Filtern? Da macht der Vigor sicherlich keine Ausnahme.


für deine ausführliche erklärung also der contentfilter, aber wenn ein paketfilter einen solchen besitzt warum zählt er dann nicht schon zu den stateful inspektion paketfiltern wenn dieser auf OSI 6 arbeitet
vigor32
Grünschnabel
 
Beiträge: 3
Registriert: So 02.04.2006 - 20:05

Beitragvon kdd » Di 04.04.2006 - 13:23

In der (Netzwerkkommunikation) gilt das OSI Modell als einheitlicher Standard. Vor dessen Entwicklung (70er Jahre) gab es jedoch bereits viele andere Netzwerkprotokollstapel die auch vernünftig arbeiten, allerdings auf weniger Schichten als das OSI Modell beruhen. So z.B. der TCP/IP Stack mit seinen vier Schichten, die erst in die OSI Schichten übersetzt werden müssen.
Für die Nutzung von Begriffen aus dem OSI Modell gilt das auch. So nennt man die lt. OSI genormten Protokollsteuerinformationen (engl. protocol control information; PCI) auch heute noch i.d.R. Header. Die Hader samt Nutzinformationen heissen dann PDU (protocol data units). Diese PDU's haben mittlerweile quasi Standardnamen für die jeweilige OSI Schicht erhalten. Für die OSI Schicht 5-7 heissen die alle gleich nämlich schlicht user data's. Das rührt daher, dass OSI den Application-Layer des TCP/IP Modells in drei Schichten (Session, Presentation und Application) aufteilt, der Sprachgebrauch der "Netzwerker" jedoch noch immer von TCP/IP bestimmt wird.
Die Schicht 4 ist der Transport Layer, der in TCP/IP eine 1:1 Abbildung hat (Host to Host). Die zugehörigen PDU's nennt man Segmente. Darunter liegt der Network Layer mit seinem logischen Adressierungsschema. Die PDU's sind packets. Layer 2 PDU's nennt man Frames und im Layer 1 -der Bitübertragungsschicht- sind es schlicht Bits.

Wenn also Paketfilter gesagt wird, meint man genaugenommen eine Filterung nach Schicht 3 Adressen und weiteren Inhalten des Schicht 3 Headers. Gemeinhin sind das also die IP Adressen, Protokollnummern und Informationen über Fragmentierung.
Da TCP/IP über der IP Schicht bereits Informationen über die Applikation selbst verarbeitet (Portnummern im UDP/TCP-Header) kann bereits in der (OSI)-Schicht vier nach spezifischen Informationen zur Applikation und dem Satus einer Ende zu Ende Verbindung gefiltert werden. Statefull Inspektion setzt genau darauf auf.
Paketfilter sind das aber nicht mehr, weil ja bereits Segmente analysiert werden. Der Begriff Segmentfilter wird jedoch nie benutzt. Mitunter hört man etwas von Statefull Packet Inspection. Das meint dann i.d.R die Kombination aus Schicht 3/4 Filtern. I.d.R. ist das mit Standardfirewalls gut machbar. Nimmt die Anzahl der verschiedenen Regeln jedoch zu oder wird komplexer, geht vielen Billigfirewalls die Puste aus. In diesem Fall wird im professionellen Bereich auf Hardwarefirewalls gesetzt, die genügend Rechenleistung zur Analyse und Weiterleitung der Pakte/Segmente verfügen.

Echte Contentfilter interessieren sich für alle o.g. Dinge nicht, sondern möchten sich Informationen der Nutzdaten anschauen und die genauer analysieren. Solange es sich dabei um normierte Inhalte handelt, wie die URL einer Seite, Teilen davon oder die Endung plattformspezifischer oder
-unabhängiger Dateien (Java, ActiveX, .exe, .com etc) ist das mit vertretbarem Aufwand machbar.
Wie bei dem Vigor zu erkennen, ist die Komplexität dieser Regeln schon wesentlich weniger ausgeprägt. Es gibt nur ein/aus Schalter. Alles andere würde zu einer erhöhten Latenz führen, oder entsprechend leistungsfähige Hard und Software voraussetzen.

Das ist i.d.R. nur auf leistungsfähigen Proxy-Servern zu finden, die z.T Inhaltsanalysen in Echtzeit durchführen können und das bei einer Belastung von mehreren 10.000 Verbindungen. Das sind dann aber Multiprozessor- Rechner oder Spezialprozessoren.

Mehr Infos zu diesem Thema gibt's im Internet oder, -je spezieller es wird-, in entsprechenden Seminaren der Anbieter. Ich denke das sollte für den Austausch in diesem Forum genug sein. Immerhin soll es hier ja um Vigor gehen, der für seinen Preis eine ganz gute Palette von Filtermöglichkeiten bietet, und sogar von nicht Fachleuten halbwegs vernünftig eingestellt werden kann.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Danke

Beitragvon vigor32 » So 09.04.2006 - 16:28

für dein ausführliche erklärung
vigor32
Grünschnabel
 
Beiträge: 3
Registriert: So 02.04.2006 - 20:05


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron