https://demowiki.knowlus.com/index.php?action=history&feed=atom&title=PaketfilterPaketfilter - Versionsgeschichte2026-05-14T20:54:15ZVersionsgeschichte dieser Seite in Demo WikiMediaWiki 1.44.2https://demowiki.knowlus.com/index.php?title=Paketfilter&diff=12348&oldid=previmported>Thomas Dresler: Autor "Administrator" entfernt2025-07-24T21:25:57Z<p>Autor "Administrator" entfernt</p>
<p><b>Neue Seite</b></p><div>{{Belege fehlen|2=Dieser Artikel|1=Der Artikel gibt Spezialwissen wieder; es liegt auch nicht auf der Hand, wo dies nachgelesen werden kann [[WP:Q|=> Belege erforderlich.]]}}<br />
Ein '''Paketfilter''', auch '''Netzwerkfilter''' genannt, ist eine [[Anwendungsprogramm|Anwendung]] oder ''[[Software]]'', die den ein- und ausgehenden Datenverkehr in einem [[Rechnernetz]] filtert. Dies dient in der Regel dem [[Computersicherheit|Schutz]] des Netzes vor Angreifern. Ebenso wichtig wie der Schutz gegen Angreifer von Außen ist der Schutz gegen ungewollt ausgehende Pakete; damit kann beispielsweise erschwert werden, dass der eigene Rechner ungewollt und unbemerkt [[Computervirus|Viren]] im [[Internet]] verbreitet. Ein Paketfilter kann Teil einer [[Firewall]] sein.<ref>{{Internetquelle |autor=Klaus Lipinski |url=https://www.itwissen.info/Paketfilter-packet-filter-PF.html |titel=Paketfilter |sprache=de |abruf=2022-04-19}}</ref><br />
<br />
== Verwendung ==<br />
Paketfilter werden verwendet, um das Konzept einer Firewall umzusetzen.<br />
<br />
Auf [[Router]]n kommen sie zum Einsatz um sogenannte [[Ingress-Filter]] zu implementieren. Mit solchen Filtern wird verhindert, dass Datenpakete aus oder in ein Netz gesendet werden, die ungültige Absender- oder Ziel-Adressen beinhalten. Ist zum Beispiel an einer Router-Schnittstelle nur das Netz [[IP-Adresse|10.1.1.0/24]] angeschlossen, und es kommt ein Datenpaket mit der Absender-Adresse 172.16.1.42 aus diesem Netz, sollte der Router das Paket verwerfen. Es liegt entweder ein Konfigurationsfehler vor oder ein [[Cracker (Computer)|Angreifer]] versucht seine Absender-Adresse zu fälschen. Auch [[Multicast]]- und [[Broadcast]]-Absender-Adressen lassen sich so filtern. Alternativ zu Paketfiltern steht mit [[Reverse Path Forwarding|Unicast Reverse Path Forwarding]] hier eine alternative Möglichkeit zur Verfügung.<br />
<br />
== Funktionsweise ==<br />
Die Daten werden in einem Netz von dem sendenden [[Host (Informationstechnik)|Host]] in [[Datenpaket]]e verpackt und versendet. Jedes Paket, das den Paketfilter passieren will, wird untersucht. Anhand der in jedem Paket vorhandenen Daten, wie Absender- und Empfänger-Adresse, entscheidet der Paketfilter aufgrund von Filterregeln, was mit diesem Paket geschieht. Ein unzulässiges Paket, das den Filter nicht passieren darf, wird entweder verworfen (im [[Fachjargon]] ''DENY'' oder ''DROP'' genannt), der Absender über das Verwerfen mittels [[Internet Control Message Protocol|ICMP]]-Nachricht informiert mit der Bemerkung, dass der Zugriff unzulässig war (''REJECT''), oder weitergeleitet (''FORWARD'' oder ''PERMIT'') beziehungsweise durchgelassen (''ALLOW'' oder ''PASS'').<ref>{{Internetquelle |autor= |url=https://www.storage-insider.de/packet-filter-packet-filtering-paketfilter-paketfilterung-a-176607/,%20https://www.storage-insider.de/packet-filter-packet-filtering-paketfilter-paketfilterung-a-176607/ |titel=Packet Filter {{!}} Packet Filtering {{!}} Paketfilter {{!}} Paketfilterung |sprache=de |abruf=2022-04-19}}</ref><br />
<br />
Ein Paketfilter heißt „[[Stateful Packet Inspection|stateful]]“, wenn er für ein ausgehendes Paket automatisch eine Regel erzeugt, die in einem bestimmten Zeitfenster (im Minutenbereich) die Antwort auf dieses Paket akzeptiert. Kommt die Antwort nicht oder wird die Zeit überschritten, verfällt die Regel. Prinzipiell können solche Filter auch mit Protokollen umgehen, die auf zwei Ports arbeiten, zum Beispiel [[File Transfer Protocol|FTP]].<ref>{{Internetquelle |autor=Stefan Luber |url=https://www.security-insider.de/was-ist-stateful-packet-inspection-a-960046/ |titel=Was ist Stateful Packet Inspection? |sprache=de |abruf=2022-04-19}}</ref><br />
<br />
== Beispiel ==<br />
Der Paketfilter ist für Aufgaben wie das Vergleichen von Quell- oder Zieladresse der Pakete, die die Firewall passieren, zuständig und muss dafür bestimmte Filterungen oder Reglementierungen im Datenverkehr vornehmen. Wenn man sich das Internet als eine gigantische Ansammlung von Häusern vorstellt, dann stellen die [[IP-Adresse]]n sozusagen die Hausnummern dar. Unter einer bestimmten IP-Adresse kann man direkt mit einem Rechner kommunizieren.<br />
<br />
In den einzelnen „Etagen“ dieser Rechner (gekennzeichnet mit einer Nummer, die man auch [[Port (Netzwerkadresse)|Port]] nennt) wohnen nun die verschiedenen Dienste wie [[Hypertext Transfer Protocol|HTTP]], [[File Transfer Protocol|FTP]] oder [[Secure Shell|SSH]]. Ein Paketfilter kann verschiedene Ports für die Besucher aus dem [[Internet]] sperren, d.&nbsp;h., jede Verbindung aus dem Internet wird an der Haustür abgewiesen. Durch die entsprechende Konfiguration einer Firewall kann so ein [[Rechnernetz]] vor Angriffen oder Zugriffen geschützt werden.<br />
<br />
Ein Paketfilter definiert Regeln, die festlegen, ob einzelne oder zusammenhängende Pakete das [[Zugangsschutz]]system passieren dürfen oder abgeblockt werden. Eine solche Regel wäre zum Beispiel: Verwirf alle Pakete, die von der IP-Adresse 1.2.3.4 kommen. Da Angreifer jedoch von beliebigen IP-Adressen kommen können, ist es praktikabler, den umgekehrten Weg zu gehen und nur Pakete durchzulassen, die von bestimmten IP-Adressen kommen.<br />
<br />
Prinzipiell ist dies aber auch kein wirklich sicherer Weg, da ein Übeltäter die Hausnummer ohne größere technische Probleme fälschen kann. Eine sichere Kommunikation, z.&nbsp;B. zwischen Firmennetzen, ist nur möglich, wenn [[Netzwerkprotokoll|Protokoll]]e verwendet werden, die eine [[Authentifikation]] und [[Autorisierung]] der beteiligten Benutzer oder Systeme vornehmen.<br />
<br />
== Implementierungen ==<br />
* [[IPFilter]] portabler Paketfilter für [[Solaris (Betriebssystem)|Solaris]], [[FreeBSD]] u.&nbsp;a.<br />
* [[ipfw]] Paketfilter von FreeBSD und [[Mac OS X]]<br />
* [[ipfwadm]] (Linux 2.0, obsolet)<br />
* [[ipchains]] (Linux 2.2, obsolet)<br />
* [[iptables|ip(6)tables]] ([[Linux]] ab 2.4)<br />
* [[nftables]] ([[Linux]] ab 3.13)<br />
* [[Pf (Paketfilter)|pf]] Paketfilter von allen BSD-Derivaten, vornehmlich [[OpenBSD]], aber inzwischen auch FreeBSD und NetBSD<br />
<br />
== Weblinks ==<br />
* [http://www.netfilter.org/ Linux netfilter/iptables Paket Filter] (englisch)<br />
* [http://openbsd.nuug.no/faq/pf/ PF: The OpenBSD Packet Filter] (englisch)<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Paketfilter| ]]<br />
<br />
[[en:Firewall (computing)#First generation: packet filters]]</div>imported>Thomas Dresler