Pakettisuodatin

Pakettisuodattimen , joka tunnetaan myös nimellä verkon suodatin , on sovellus tai ohjelmiston , joka suodattaa saapuvan ja lähtevän dataliikennettä tietokoneen verkkoon. Tämä yleensä suojaa verkkoa hyökkääjiltä. Aivan yhtä tärkeä kuin suoja ulkoisilta hyökkääjiltä on suojaus ei-toivotuilta lähteviltä paketeilta; Tämä voi esimerkiksi vaikeuttaa, oman tietokoneen tahattomasti ja huomaamatta levitä viruksia on Internetissä . Pakettisuodatin voi olla osa palomuuria .

käyttää

Pakettisuodattimia käytetään palomuurikonseptin toteuttamiseen.

Niitä käytetään päälle reitittimet toteuttamaan niin sanottuja sisäänpääsyn suodattimia . Tällaiset suodattimet estävät datapakettien lähettämisen verkosta tai verkkoon, joka sisältää virheellisiä lähettäjä- tai kohdeosoitteita. Jos esimerkiksi vain 10.1.1.0/24-verkko on kytketty reitittimen käyttöliittymään ja datapaketti, jonka lähettäjäosoite on 172.16.1.42, tulee tältä verkolta, reitittimen tulisi hävittää paketti. Siinä on joko määritysvirhe tai hyökkääjä yrittää väärentää lähettäjän osoitettaan. Myös monilähetys- ja lähetyslähettäjät , osoitteet voidaan suodattaa. Vaihtoehtona pakettisuodattimille, yksilähetys käänteinen reitin edelleenlähetys on vaihtoehtoinen vaihtoehto.

toiminnallisuutta

Lähettävä isäntä pakkauksissa ja lähettää tiedot on datapaketit verkossa . Jokainen paketti, joka yrittää ohittaa pakettisuodattimen, tutkitaan. Kunkin paketin tietojen, kuten lähettäjän ja vastaanottajan osoitteen, perusteella pakettisuodatin käyttää suodinsääntöjä päättääkseen, mitä tehdä tällä paketilla. Paketti, jota ei voida päästää suodattimen läpi, joko hylätään ( kutsutaan DENY tai DROP teknisessä ammattikiellossa ), lähettäjä ilmoittaa hylkäämisestä ICMP- sanomalla huomautuksella, että pääsyä ei sallittu ( Hylkää ), tai välitetään edelleen ( Eteenpäin) tai PERMIT ) tai päästää läpi ( SALLI tai PASSI ).

Pakettisuodatinta kutsutaan " tilaksi ", jos se luo automaattisesti säännön lähtevälle paketille, joka hyväksyy vastauksen tähän pakettiin tietyssä aikaikkunassa (minuuttien sisällä). Jos vastausta ei tule tai aika ylittyy, sääntö vanhenee. Periaatteessa tällaiset suodattimet voivat käsitellä myös kahdessa portissa toimivia protokollia, esimerkiksi FTP .

Esimerkki pakettisuodattimesta

Pakettisuodatin on vastuussa tehtävistä, kuten palomuurin läpi kulkevien pakettien lähde- tai kohdeosoitteen vertailusta, ja sen vuoksi sen on suoritettava tietty suodatus tai tietoliikenteen säätäminen. Jos ajattelet Internetiä jättimäisenä talokokoelmana, IP-osoitteet edustavat niin sanottuja talonumeroita. Voit kommunikoida suoraan tietokoneen kanssa tietyllä IP-osoitteella.

Eri palvelut, kuten HTTP , FTP tai SSH, sijaitsevat nyt näiden tietokoneiden yksittäisissä "kerroksissa" (merkitty numerolla, jota kutsutaan myös portiksi ) . Pakettisuodatin voi estää useita portteja vierailijoille Internetistä , ts. Toisin sanoen jokainen Internet-yhteys hylätään etuovessa. Asianmukaisella palomuurin määrityksellä tietokoneverkko voidaan suojata hyökkäyksiltä tai pääsyltä.

Pakettisuodin määrittelee sääntöjä, jotka määrittävät, onko yksilö tai liittyvät paketit annetaan kulkea pääsy suojajärjestelmä tai ovatko ne on estetty. Tällainen sääntö olisi esimerkiksi: Hävitä kaikki IP-osoitteesta tulevat paketit 1.2.3.4. Koska hyökkääjät voivat kuitenkin tulla mistä tahansa IP-osoitteesta, on käytännöllisempää mennä päinvastoin ja päästää läpi vain tietyiltä IP-osoitteilta tulevat paketit.

Periaatteessa tämä ei myöskään ole kuitenkaan todella turvallinen tapa, koska syyllinen voi väärentää talonumeron ilman suuria teknisiä ongelmia. Suojattu viestintä, esim. Yritysverkkojen välinen B. on mahdollista vain, jos käytetään protokollia, jotka todentavat ja valtuuttavat mukana olevat käyttäjät tai järjestelmät. Tämä voidaan tehdä esimerkiksi salatuilla virtuaalisilla yksityisillä verkoilla tai yksinkertaisemmin ns. Portin koputuksella , jossa lähettäjä lähettää ensin sovitun pakettisarjan (käytännössä koputtaa etuovelle tietyllä kutsumerkillä) ja portti avataan vasta sitten.