Ingress Filter

Ingress Filter

Mit einem Ingress Filter werden, allgemein formuliert, Netze vor unerwünschtem Eingangsdatenverkehr geschützt. Im derzeitigen Sprachgebrauch ist mit Ingress Filter speziell das Abblocken von Internet Paketen mit gefälschten oder fehlerhaften Absenderadressen gemeint.

Inhaltsverzeichnis

Funktionsweise

Ein auf einem Router oder Firewall implementierter Ingress Filter verhindert, dass IP-Pakete mit gefälschter Absenderadresse vom Außenrand eines Netzes ins Zentrum gelangen. Ziel ist es also, Pakete abzufangen, bevor sie in das eigentliche Netz gelangen. Voraussetzung ist, dass Router oder Firewalls alle externen Netze kennen, die sie an das Zentrum anschließen. Diese Vorbedingung ist bei korrekt eingerichteter Routingtabelle erfüllt. Ein Ingress Filter lässt nur IP-Pakete mit bekannter Absenderadresse durch. Alle anderen werden verworfen.

Beispiel: Ein Service Provider schließt das Netz 171.17.128.0/18 an das Internet an. Er weiß damit, dass sämtliche aus diesem externen Netz eintreffenden IP-Pakete eine Absenderadresse aus diesem Adressbereich haben müssen. Trifft jetzt aus diesem Netz ein Paket mit beispielsweise der Absenderadresse 192.168.130.7 ein, so liegt entweder ein Konfigurationsfehler oder ein Angriff vor. In beiden Fällen ist es sinnvoll, dieses Paket zu verwerfen, bevor es ins Internet gelangt.

Einrichtung

Ingress Filter können statisch eingerichtet werden, indem manuell alle externen Netze eines Service Providers in eine Access-Liste aufgenommen werden, oder sie können automatisch aus der Routingtabelle generiert werden (Reverse Path Filtering). Fehlerhaft konfigurierte Filter können dazu führen, dass legitime IP-Pakete abgeblockt werden.

Einschränkungen

Ingress Filter bieten nur begrenzten Schutz. Gegen Angriffe mit einer Original-IP-Adresse sind sie völlig wirkungslos, ebenso bei gefälschten IP-Adressen aus dem gleichen Subnetz des Angreifers. Geht etwa eine Attacke von der IP-Adresse 171.17.130.5 aus, so würden Pakete mit der gefälschten IP-Adresse 171.17.130.99 unbeanstandet die Ingress Filter passieren. Aufgrund derartiger Einschränkungen und dem in manchen Fällen aufwändigen Betrieb werden Ingress Filter in der Praxis nur selten eingesetzt. Es gibt allerdings auch Angriffsvarianten, vor denen Ingress Filter wirksamen Schutz bieten. Ein Beispiel hierfür ist die DNS Amplification Attack.

Der umgekehrte Weg, also vom Netzzentrum in Richtung Außenbereich, kann mit einem Ingress-Filter allgemein nicht abgesichert werden, da nicht zwischen gültigen und ungültigen Absenderadressen unterschieden werden kann. Es ist aber möglich, durch Filter den Spezialfall zu verhindern, dass vom Netzzentrum Pakete eintreffen mit der eigenen, externen Absenderadresse.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Ingress — Unter Ingress (engl. Eindringen) versteht man elektromagnetische Störungen, die in Koaxialkabeln durch Sendeanlagen, Haushaltsgeräte, Schaltnetzteile usw. entstehen. Die Störungen treten vor allem dann auf, wenn das Kabel oder dessen Schirmung… …   Deutsch Wikipedia

  • Ingress filtering — In computer networking, ingress filtering is a technique used to make sure that incoming packets are actually from the networks that they claim to be from. Contents 1 Problem 2 Solution 3 Networks 4 See also …   Wikipedia

  • Content-filter — Eine externe (Netzwerk oder Hardware ) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist… …   Deutsch Wikipedia

  • IP traceback — is a name given to any method for reliably determining the origin of a packet on the Internet. The datagram nature of the Internet makes it difficult to determine the originating host of a packet – the source id supplied in an IP packet can be… …   Wikipedia

  • Paketfilter — Ein Paketfilter ist eine Software, die den ein und ausgehenden Datenverkehr in einem Computernetz filtert. Dies dient in der Regel dem Schutz des Netzes vor Angreifern. Ebenso wichtig wie der Schutz gegen Angreifer von Außen ist der Schutz gegen… …   Deutsch Wikipedia

  • 802.1D — 7         7 6         6 5         …   Deutsch Wikipedia

  • Bridge (Netzwerk) — 7         7 6         6 5 …   Deutsch Wikipedia

  • IEEE 802.1D — 7         7 6         6 5         …   Deutsch Wikipedia

  • Netzwerkbrücke — 7         7 6         6 5         …   Deutsch Wikipedia

  • Externe Firewall — Eine externe Firewall (auch Netzwerk oder Hardwarefirewall) kontrolliert die Verbindung zwischen zwei Netzen und unterzieht deren Kommunikation bestimmten Regeln, basierend auf Absender oder Zieladresse und genutzten Diensten. Die Regeln legen… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”