Zum Inhalt springen

Ingress-Filter

aus Wikipedia, der freien Enzyklopädie

Ein Ingress-Filter verhindert IP-Spoofing zwischen zwei Rechnernetzen, indem IP-Pakete mit gefälschten oder fehlerhaften Absenderadressen verworfen werden. Die Filterung findet an der Netzgrenze auf dem Eingangsdatenverkehr ({{#invoke:Vorlage:lang|full|CODE=en|SCRIPTING=Latn|SERVICE=englisch}}) statt.

Die Einrichtung eines Ingress-Filters zur Eindämmung von DDoS-Angriffen im Internet gilt als gute Praxis und wird beispielsweise im Dokument Best Current Practice 38 empfohlen.<ref>Vorlage:RFC-Internet</ref>

Funktionsweise

Ein auf einem Border-Router oder einer Perimeter-Firewall implementierter Ingress-Filter verhindert, dass IP-Pakete mit gefälschter Absenderadresse aus einem fremden Netz ins eigene Netze gelangen. Ziel ist es also, Pakete abzufangen, bevor sie in das eigentliche Netz gelangen und weitergeleitet werden. Voraussetzung ist, dass der Router oder die Firewall die IP-Adressbereiche kennt, die zu dem fremden Netz gehören. Diese Vorbedingung ist bei korrekt eingerichteter Routingtabelle erfüllt. Ein Ingress-Filter lässt nur IP-Pakete mit zulässiger Absenderadresse durch. Alle anderen werden verworfen. Eine Möglichkeit zur Umsetzung eines Ingress-Filters besteht in der Verwendung von Unicast Reverse Path Forwarding (uRPF).

Beispiel: Ein Internetdiensteanbieter schließt das IPv4-Netz 192.0.2.0/24 seines Kunden an das Internet an. Er weiß damit, dass sämtliche aus dem Kundennetz eintreffenden IP-Pakete eine Absenderadresse aus diesem Adressbereich haben müssen. Trifft jetzt aus diesem Netz ein Paket mit beispielsweise der Absenderadresse 203.0.113.7 ein, so liegt entweder ein Konfigurationsfehler oder ein IP-Spoofing-Angriff mit gefälschter Absenderadresse vor. In beiden Fällen ist es sinnvoll, dieses Paket bereits an der Netzgrenze zu verwerfen, bevor es weiter vermittelt wird.

Einrichtung

Ingress-Filter können statisch eingerichtet werden, indem manuell alle externen Netze der Firma in eine Zugriffsliste (access list) aufgenommen werden, oder sie können automatisch aus der Routingtabelle generiert werden (Reverse Path Forwarding). Fehlerhaft konfigurierte Filter können dazu führen, dass legitime IP-Pakete blockiert werden.

Die Firewall von OpenBSD, pf, erlaubt eine einfache Einrichtung eines solchen Filters. Mit dieser Konfigurationszeile werden Pakete mit gefälschter Absenderadresse auf dem Netzwerkinterface em0 verworfen: 

antispoof for em0

Einschränkungen

Ingress-Filter bieten nur begrenzten Schutz. Gegen Angriffe mit einer zulässigen IP-Adresse sind sie völlig wirkungslos, ebenso bei gefälschten IP-Adressen aus dem echten Kundennetz. Beim genannten Beispielnetz 192.0.2.0/24 kann ein Angreifer Pakete mit Absenderadressen wie 192.0.2.7 oder 192.0.2.99 unbeanstandet den Ingress-Filter passieren, auch wenn die Absenderadresse in Wirklichkeit gefälscht ist. Der umgekehrte Weg, also vom eigenen Netz in Richtung fremdes Netz, kann mit einem Ingress-Filter allgemein nicht abgesichert werden, da nicht zwischen gültigen und ungültigen Absenderadressen unterschieden werden kann.

Wirksamen Schutz bietet ein Ingress-Filter bei der Eindämmung von DDoS-Angriffen wie beispielsweise DNS Amplification Attacks. Allerdings schützt der Ingress-Filter nicht das eigene Netz vor dem Angriff, sondern dämmt die Angriffsquelle im eigenen Netz ein, um Dritte vor den Auswirkungen zu schützen. Dadurch ist der Anreiz zur Umsetzung gering, da es einen negativen externen Effekt gibt: Netzbetreiber ohne Ingress-Filter sparen sich Konfigurationsaufwand, während die Kosten in Form von DDoS-Angriffen bei Dritten liegen.<ref>{{#invoke:Vorlage:Literatur|f}}</ref>

Eine potentielle Einschränkung besteht in Leistungseinbußen durch den Ingress-Filter. Dies hängt von der Leistungsfähigkeit des Geräts ab, dass die Filterung durchführt.

Literatur

Weblinks

Einzelnachweise

<references />

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Ingress-Filter&oldid=608503