https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Ingress-FilterIngress-Filter - Versionsgeschichte2026-06-02T01:13:05ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Ingress-Filter&diff=608503&oldid=previmported>Matthäus Wander: Definition präzisiert; Ergänzung2026-04-19T14:23:36Z<p>Definition präzisiert; Ergänzung</p>
<p><b>Neue Seite</b></p><div>Ein '''Ingress-Filter''' verhindert [[IP-Spoofing]] zwischen zwei [[Rechnernetz]]en, indem [[IP-Paket]]e mit gefälschten oder fehlerhaften Absenderadressen verworfen werden. Die Filterung findet an der Netzgrenze auf dem Eingangsdatenverkehr ({{enS|ingress traffic}}) statt.<br />
<br />
Die Einrichtung eines Ingress-Filters zur Eindämmung von [[DDoS-Angriff]]en im [[Internet]] gilt als gute Praxis und wird beispielsweise im Dokument [[Best Current Practice]]&nbsp;38 empfohlen.<ref>{{RFC-Internet |RFC=2827 |Autor=P. Ferguson, D. Senie |Titel=Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing |Datum=2000-05 |Standard=BCP-38}}</ref><br />
<br />
== Funktionsweise ==<br />
Ein auf einem [[Border-Router]] oder einer Perimeter-[[Firewall]] implementierter Ingress-Filter verhindert, dass [[IP-Paket]]e mit [[IP-Spoofing|gefälschter Absenderadresse]] aus einem fremden Netz ins eigene Netze gelangen. Ziel ist es also, Pakete abzufangen, ''bevor'' sie in das eigentliche Netz gelangen und weitergeleitet werden. Voraussetzung ist, dass der Router oder die Firewall die [[IP-Adresse|IP-Adressbereiche]] kennt, die zu dem fremden Netz gehören. Diese Vorbedingung ist bei korrekt eingerichteter [[Routingtabelle]] erfüllt. Ein Ingress-Filter lässt nur IP-Pakete mit zulässiger Absenderadresse durch. Alle anderen werden verworfen. Eine Möglichkeit zur Umsetzung eines Ingress-Filters besteht in der Verwendung von [[Reverse Path Forwarding#Unicast_RPF_(uRPF)|Unicast Reverse Path Forwarding]] (uRPF).<br />
<br />
Beispiel: Ein [[Internetdiensteanbieter]] schließt das [[IPv4]]-Netz 192.0.2.0/24 seines Kunden an das Internet an. Er weiß damit, dass sämtliche aus dem Kundennetz eintreffenden IP-Pakete eine Absenderadresse aus diesem Adressbereich haben müssen. Trifft jetzt aus diesem Netz ein Paket mit beispielsweise der Absenderadresse 203.0.113.7 ein, so liegt entweder ein Konfigurationsfehler oder ein IP-Spoofing-Angriff mit gefälschter Absenderadresse vor. In beiden Fällen ist es sinnvoll, dieses Paket bereits an der Netzgrenze zu verwerfen, bevor es weiter [[Routing|vermittelt]] wird.<br />
<br />
== Einrichtung ==<br />
Ingress-Filter können statisch eingerichtet werden, indem manuell alle externen Netze der Firma in eine Zugriffsliste (access list) aufgenommen werden, oder sie können automatisch aus der Routingtabelle generiert werden ([[Reverse Path Forwarding]]). Fehlerhaft konfigurierte Filter können dazu führen, dass legitime IP-Pakete blockiert werden.<br />
<br />
Die Firewall von [[OpenBSD]], [[pf (Paketfilter)|pf]], erlaubt eine einfache Einrichtung eines solchen Filters. Mit dieser Konfigurationszeile werden Pakete mit gefälschter Absenderadresse auf dem Netzwerkinterface ''em0'' verworfen:<br />
antispoof for em0<br />
<br />
== Einschränkungen ==<br />
Ingress-Filter bieten nur begrenzten Schutz. Gegen Angriffe mit einer zulässigen [[IP-Adresse]] sind sie völlig wirkungslos, ebenso bei gefälschten IP-Adressen aus dem echten Kundennetz. Beim genannten Beispielnetz 192.0.2.0/24 kann ein Angreifer Pakete mit Absenderadressen wie 192.0.2.7 oder 192.0.2.99 unbeanstandet den Ingress-Filter passieren, auch wenn die Absenderadresse in Wirklichkeit gefälscht ist. Der umgekehrte Weg, also vom eigenen Netz in Richtung fremdes Netz, kann mit einem Ingress-Filter allgemein nicht abgesichert werden, da nicht zwischen gültigen und ungültigen Absenderadressen unterschieden werden kann.<br />
<br />
Wirksamen Schutz bietet ein Ingress-Filter bei der Eindämmung von [[DDoS-Angriff]]en wie beispielsweise [[DNS Amplification Attack]]s. Allerdings schützt der Ingress-Filter nicht das eigene Netz vor dem Angriff, sondern dämmt die Angriffsquelle im eigenen Netz ein, um Dritte vor den Auswirkungen zu schützen. Dadurch ist der Anreiz zur Umsetzung gering, da es einen negativen [[Externer Effekt|externen Effekt]] gibt: Netzbetreiber ohne Ingress-Filter sparen sich Konfigurationsaufwand, während die Kosten in Form von DDoS-Angriffen bei Dritten liegen.<ref>{{Literatur |Titel=Network Hygiene, Incentives, and Regulation: Deployment of Source Address Validation in the Internet |Autor=Matthew Luckie, Robert Beverly, Ryan Koga, Ken Keys, Joshua A. Kroll, k claffy |Sammelwerk=CCS '19: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security |Datum=2019-11-06 |Seiten=465–480 |Sprache=en |DOI=10.1145/3319535.3354232 |Online=[https://www.caida.org/catalog/papers/2019_network_hygiene_incentives_regulation/network_hygiene_incentives_regulation.pdf caida.org]}}</ref><br />
<br />
Eine potentielle Einschränkung besteht in Leistungseinbußen durch den Ingress-Filter. Dies hängt von der Leistungsfähigkeit des Geräts ab, dass die Filterung durchführt.<br />
<br />
== Literatur ==<br />
* {{RFC-Internet |Autor=P. Ferguson, D. Senie |RFC=2827 |Titel=Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing |Datum=2000-05 |Obsoletes=2267}}<br />
* {{RFC-Internet |Autor=F. Baker, P. Savola |RFC=3704 |Titel=Ingress Filtering for Multihomed Networks |Datum=2004-03 |Obsoletes=2827}}<br />
<br />
== Weblinks ==<br />
* [https://tools.ietf.org/html/bcp38 IETF Best Current Practice 38], englisch<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Nachrichtentechnik]]<br />
[[Kategorie:Rechnernetze]]</div>imported>Matthäus Wander