1
Verwerfen: Das Paket wird stillschweigend verworfen.
1
Zurückweisen: Das Paket wird zurückgewiesen, der Empfänger erhält eine entsprechenden Nachricht über ICMP.
Sonstige Maßnahmen
Die Firewall dient nicht nur dazu, die gefilterten Datenpakete zu verwerfen oder durchzulassen, sie kann auch zusätzliche
Maßnahmen ergreifen, wenn ein Datenpaket durch den Filter erfasst wurde. Die Maßnahmen gliedern sich dabei in die
beiden Bereiche "Protokollierung/Benachrichtigung" und "Verhindern weiterer Angriffe":
1
Syslog-Nachricht senden: Sendet eine Nachricht über das SYSLOG-Modul an einen SYSLOG-Client, wie im
Konfigurationsbereich "Meldungen" festgelegt.
1
E-Mail-Nachricht senden: Sendet eine E-Mail-Nachricht an den Administrator, der im Konfigurationsbereich
"Meldungen" festgelegt ist.
1
SNMP senden: Sendet einen SNMP-Trap, der z. B. vom LANmonitor ausgewertet wird.
5
Jede dieser drei Benachrichtigungsmaßnahmen führt automatisch zu einem Eintrag in der
Firewall-Ereignisstabelle.
1
Verbindung trennen: Trennt die Verbindung, über die das gefilterte Paket empfangen wurde.
5
Dabei wird die physikalische Verbindung getrennt (also z. B. die Internetverbindung), nicht nur die logische
Verbindung zwischen den beiden beteiligten Rechnern!
1
Absender-Adresse sperren: Sperrt die IP-Adresse, von der das gefilterte Paket empfangen wurde, für eine einstellbare
Zeit.
1
Ziel-Port sperren: Sperrt den Ziel-Port, an den das gefilterte Paket gesendet wurde, für eine einstellbare Zeit.
Quality of Service (QoS)
Neben den Beschränkungen für die Übertragung von Datenpaketen kann die Firewall auch für bestimmte Anwendungen
eine "Sonderbehandlung" einräumen. Die QoS-Einstellungen nutzen dabei die Möglichkeiten der Firewall, Datenpakete
gezielt Verbindungen oder Diensten zuordnen zu können.
8.3.5 Die Alarmierungsfunktionen der Firewall
In diesem Abschnitt werden die Meldungen, die von der Firewall bei sicherheitsrelevanten Ereignissen verschickt werden,
im Detail beschrieben. Es stehen die folgenden Meldungstypen zur Verfügung:
1
E-Mail-Benachrichtigung
1
SYSLOG-Meldung
1
SNMP-Trap
Benachrichtigungen können dabei jeweils getrennt entweder durch die Intrusion Detection, die Denial-of-Service Protection
oder durch frei einstellbare Maßnahmen in der Firewall ausgelöst werden. Die spezifischen Parameter für die verschiedenen
Benachrichtigungsarten (wie z. B. das zu benutzende E-Mail-Konto) können Sie an folgenden Stellen angeben:
LANconfig: Meldungen / SMTP-Konto bzw. Meldungen E SYSLOG
WEBconfig: LCOS-Menübaum / Setup / Mail bzw. LCOS-Menübaum / Setup / SYSLOG
Ein Beispiel:
Es sei ein Filter namens 'BLOCKHTTP' definiert, der den Zugriff auf einen HTTP-Server (192.168.200.10) abblockt, und
für den Fall, dass doch jemand auf den Server zugreifen wollte, jeden Traffic von und zu diesem Rechner unterbindet
und den Administrator über SYSLOG informiert.
Benachrichtigung per SYSLOG
Wenn die Portfilter-Firewall ein entsprechendes Paket verwirft, wird über Syslog eine Meldung ausgegeben, z. B.:
PACKET_ALERT: Dst: 192.168.200.10:80 {}, Src: 10.0.0.37:4353 {} (TCP): port filter
Referenzhandbuch
8 Firewall
489