Der Portfilter wird automatisch bei einer snafu Einwahl ins Internet aktiv und überprüft ausschließlich den IP Verkehr aus dem Internet zum Kunden, d.h. in der entgegengesetzten Richtung aus dem Kundennetzwerk oder vom Einzelplatzrechner initiierte IP Verbindungen werden als sicher angesehen und generell nicht gefiltert. Mit anderen Worten - es werden IP Pakete gefiltert, die aus dem Internet kommen und an die snafu IP des Kunden adressiert sind.
Zur besseren Verständlichkeit möchten wir folgende Begriffe kurz erklären:
Port: Ein Port ist Teil der Adressierung von Paketen in Netzwerken, der dazu dient, Daten an das richtige Programm (z.B. Webserver, Mailserver) weiterzureichen.
Verdeutlichen kann man dies mit dem Vergleich einer Telefonanlage: Die zentrale Telefonnummer entspricht dabei der IP-Adresse, die Nebenstellen/ Durchwahlen entsprechen den Ports. Hinter einem Port steht ein Programm, das die jeweilige Anfrage bearbeitet. Ports werden mit Nummern bezeichnet. So verbindet sich z.B. Ihr E-Mail Programm über den Port 110 mit unserem POP-Server, um neue Mails abzuholen. Beim Versenden von E-Mails aus Ihrem E-Mail Programm verbinden Sie sich automatisch mit unserem Mailserver auf Port 25. Ein anderer sogenannter "well-known" Port ist z.B. Port 80 zum Abruf von Webseiten.
Durch die Angabe eines Ports können unterschiedliche Programme auf ein und demselben Rechner angesprochen werden. Der Rechner hingegen wird über die IP Adresse angesprochen.
IP-Paket: Wenn Daten z.B. im Zuge der E-Mail Kommunikation von einem Rechner zu einem Mailserver versendet werden, teilt das TCP (Transmission Control Protocol) die zu übertragende Datenmenge in übersichtliche Pakete auf, die jeweils mit Ziel- u. Ursprungsadresse gekennzeichnet und unabhängig voneinander über das Internet versendet
werden. Dies geschieht nicht zwingend auf dem selben Weg. Am Zielort angekommen werden die einzelnen Datenpakete durch TCP wieder zur vollständigen Lieferung (z.B. einer E-Mail) zusammengestellt.
Portfilter kontrollieren den Inhalt von IP Paketen unter verschiedenen Kriterien, wie Ursprungs- u. Zielport, Ursprungs- u. Ziel-IP-Adresse oder auch Versandrichtung und verwendetes Protokoll.
Sie können über das Selfcare Interface ("Mein Account") zum Einwahlaccount, den Sie mit
einem snafu.portfilter absichern möchten, die Option snafu.portfilter Standard oder snafu.portfilter Custom hinzufügen. In beiden Fällen haben Sie die Wahl zwischen drei möglichen von uns vorkonfigurierten Portfiltern sowie zusätzlich in der Custom Variante die Möglichkeit, über unseren Kundenservice einen auf Ihre Bedürfnisse zugeschnittenen Portfilter zu definieren.
Innerhalb der beiden Produkte snafu.portfilter Standard sowie snafu.portfilter Custom stehen Ihnen folgende vorkonfigurierte Portfiltervarianten zur Verfügung:
A. Secure
Hier handelt es sich um einen Portfilter, der generell für alle Ports aus dem Internet kommende an Ihr Netzwerk adressierte IP Pakete, die nicht zu einer von Ihnen initiierten Verbindung gehören, ablehnt. D.h. die entsprechenden IP Pakete werden nicht an Ihr Netzwerk weitergeleitet, sondern in das Datennirvana (virtuellen Mülleimer) umgeleitet. Wie bereits weiter oben erwähnt, sind von Ihnen initiierte Verbindungen und dazu gehörige Antwortpakete ausgenommen.
In der folgenden Tabelle sind die Filterregeln in der verwendeten Reihenfolge aufgelistet.
------------------------------------------------------------------------
Nr.| Ursprungs_IP | Ziel_IP | Protokoll | Port | Aktion
------------------------------------------------------------------------
1 | Ihr Netzwerk | Internet | TCP/UDP/ICMP| | erlauben
| | | | |
------------------------------------------------------------------------
2 | Internet | Ihr Netzwerk | TCP | | erlauben
| | | | |
| (nur zu aus dem | | | |
| Netzwerk heraus | | | |
| initierten Verbin- | | | |
| dungen gehörende | | | |
| Antwortpakete) | | | |
| | | | |
------------------------------------------------------------------------
3 |Internet | Ihr Netzwerk | ICMP | | erlauben
| | | | |
------------------------------------------------------------------------
4 | 213.73.108.140 | Ihr Netzwerk | UDP | UP: | erlauben
| 213.73.102.1 | | | 53 |
| 62.50.1.159 | | | |
| | | | |
------------------------------------------------------------------------
5 | 213.73.102.0/24 | Ihr Netzwerk | TCP | UP: | erlauben
| | | | 20 |
------------------------------------------------------------------------
6 | Internet | Ihr Netzwerk | TCP/UDP | | ablehnen
| | | | |
------------------------------------------------------------------------
UP = Ursprungsport
ZP = Zielport
Regel 1+2 : Im Zuge von bereits aus Ihrem Netzwerk heraus etablierten TCP Verbindungen ausgetauschte Pakete werden vom Portfilter angenommen.
Regel 3: ICMP echo response Pakete werden vom Portfilter angenommen, um zu gewährleisten, dass Sie aus Ihrem Netzwerk heraus externe Rechner z.B. anpingen oder auch einen traceroute durchführen können. Ohne diese Filterregel würden die Antwortpakete nicht bei Ihnen ankommen.
Regel 4: Antworten unserer Nameserver (213.73.108.140, 213.73.102.1, 62.50.1.159), die über das UDP Protokoll vom Port 53 kommen, werden vom Portfilter angenommen.
Regel 5: Um den FTP-Zugriff auf Ihren Webspace auf unseren Servern zu gewährleisten, lässt der Portfilter externe Verbindungen von unseren Server IP's von Port 20 zu (der Datenkanal einer FTP-Verbindung im "active mode" wird vom externen FTP-Server aufgebaut).
Regel 6: Alle anderen sozusagen unaufgefordert aus dem Internet an Ihr Netzwerk oder Ihren Einzelplatzrechner gesendeten IP Pakete werden abgelehnt.
B. Standard
Die Standard Variante des snafu.portfilters ist weniger restriktiv ausgelegt und erlaubt daher zusätzlich den Einsatz einiger wichtiger Dienste, wie z.B. eingehende ssh-Verbindungen oder den Einsatz von Fernsteuerungssoftware.
In der folgenden Tabelle sind die Filterregeln in der verwendeten Reihenfolge aufgelistet.
------------------------------------------------------------------------
Nr.| Ursprungs_IP | Ziel_IP | Protokoll | Port | Aktion
------------------------------------------------------------------------
1 | Ihr Netzwerk | Internet | TCP/UDP/ICMP| | erlauben
| | | | |
------------------------------------------------------------------------
2 | Internet | Ihr Netzwerk | TCP | | erlauben
| | | | |
| (nur Antwortpakete,| | | |
| die zu bereits | | | |
| etablierten TCP | | | |
| Verbindungen aus | | | |
| Ihrem Netzwerk ge- | | | |
| hören) | | | |
-----------------------------------------------------------------------
3 |Internet | Ihr Netzwerk | ICMP | | erlauben
| | | | |
-------------------------------------------------------------------------
4 | 213.73.108.140 | Ihr Netzwerk | UDP | UP: | erlauben
| 213.73.102.1 | | | 53 |
| 62.50.1.159 | | | |
| | | | |
-------------------------------------------------------------------------
5 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 22 |
-------------------------------------------------------------------------
6 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 80 |
-------------------------------------------------------------------------
7 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 443 |
-------------------------------------------------------------------------
8 | 213.73.102.0/24 | Ihr Netzwerk | TCP | UP: | erlauben
| | | | 20 |
-------------------------------------------------------------------------
9 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 113 |
-------------------------------------------------------------------------
10 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 407 |
-------------------------------------------------------------------------
11 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 5631 |
-------------------------------------------------------------------------
12 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 5632 |
------------------------------------------------------------------------
13 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 5900 |
-------------------------------------------------------------------------
14 | Internet | Ihr Netzwerk | TCP | ZP: | erlauben
| | | | 3389 |
-------------------------------------------------------------------------
15 | Internet | Ihr Netzwerk | TCP/UDP | | ablehnen
| | | | |
-------------------------------------------------------------------------
UP = Ursprungsport
ZP = Zielport
Regel 1 und 2: Im Zuge von bereits aus Ihrem Netzwerk heraus etablierten TCP Verbindungen ausgetauschte Pakete werden vom Portfilter angenommen.
Regel 3: ICMP echo response Pakete werden vom Portfilter angenommen, um zu gewährleisten, dass Sie aus Ihrem Netzwerk heraus externe Rechner anpingen oder einen traceroute durchführen können. Ohne diese Filterregel würden die Antwortpakete nicht bei Ihnen ankommen.
Regel 4: Antworten unserer Nameserver (213.73.108.140, 213.73.102.1, 62.50.1.159), die über das UDP Protokoll vom Port 53 kommen, werden vom Portfilter angenommen.
Regel 5: Pakete für Port 22 (ssh Verbindungen) von außen zum Kundennetzwerk oder Einzelplatzrechner werden angenommen.
Regel 6+7: Die im Fall des Betriebs eines Webservers notwendigen Ports 80 (http) sowie 443 (https) sind von außen erreichbar.
Regel 8: Für den FTP Dienst akzeptiert der Portfilter den "passive mode" für eine Verbindung mit einem externen FTP-Server, da in diesem Fall beide FTP-Kanäle (Port 20 für ftp-data und 21 für ftp-command) aus Ihrem Netzwerk heraus aufgebaut werden.
Eine andere Situation ergibt sich für den "active mode", da dort nur die anfängliche Verbindung auf Port 21 (ftp-command) aus Ihrem Netzwerk heraus initiiert wird und der Datenkanal (Port 20 - ftp-data) vom FTP-Server aufgebaut wird, d.h. nicht aus Ihrem Netzwerk, sondern von einer externen IP. Um den Zugriff auf Ihren Webspace auf unseren Servern über den "active mode" zu gewährleisten, sind unsere Server IP's von dieser Einschränkung ausgenommen.
Regel 9: Für das IRC Protokoll akzeptiert der Portfilter von außen eingehende Pakete für Port 113 (ident).
Regel 10-14: Für verschiedene Varianten von Fernsteuerungssoftware akzeptiert der Portfilter Pakete auf den Ports 407 (timbuktu), 5631 (pcanywheredata), 5632 (pcanywherestat) 5900 (VNC) sowie 3389 (Microsoft RDP).
Regel 14: Alle anderen von außen kommenden Pakete, die nicht durch eine Verbindung aus dem Kundennetzwerk angefordert wurden, werden abgelehnt.
C. Minimal
In der Portfilterausführung Minimal, die den notwendigsten Sicherheitsanforderungen genügt, werden von außen
kommende IP Pakete, die für die Ports 135 bis 139 sowie 445 im Kundennetzwerk bestimmt sind, abgelehnt. Damit erreicht man einen wirksamen Schutz gegen bekannte Würmer, wie Blaster und Co. Alle anderen Pakete gehen ohne Einschränkung durch den Portfilter.
Bei Änderungen der Gefahrenlage werden wir die gefilterten Ports entsprechend anpassen.
"Antispoofing"
Als zusätzliche Sicherheit steht Ihnen zu den snafu.portfiltern die Option des Antispoofings zur Verfügung. Voraussetzung ist hierbei, dass Sie über die Inter.net Einwahl entweder eine statische IP (snafu.myIP) oder ein
statisches IP-Netz beziehen. In diesem Fall gewährleistet die Antispoofing Funktion, dass gefälschte IP Pakete, die vorgeben aus Ihrem internen Netz oder von Ihrer festen IP zu kommen, nicht in Ihr Netzwerk eingeschleust werden können. Der Portfilter erkennt, dass das gefälschte IP Paket nicht aus Ihrem Netzwerk sondern von einer
"feindlichen" IP aus dem Internet stammt und leitet das Paket nicht in Ihr Netzwerk weiter.
Support