| Bij pakketfiltering worden verschillende voorwaarden gebruikt om netwerkverkeer te categoriseren en te filteren. Deze voorwaarden kunnen afzonderlijk of in combinatie worden toegepast om zeer specifieke regels te creëren. Hier volgt een overzicht van veelvoorkomende categorieën en voorbeelden:
Ik. Bron en bestemming:
* Bron-IP-adres: Het IP-adres van het verzendende apparaat. Dit kan één IP-adres zijn, een reeks IP-adressen (met CIDR-notatie) of een jokerteken.
* IP-adres van bestemming: Het IP-adres van het ontvangende apparaat. Dezelfde opties als bron-IP.
* Bronpoort: Het poortnummer dat door de verzendende toepassing wordt gebruikt. (bijvoorbeeld 80 voor HTTP, 443 voor HTTPS, 22 voor SSH).
* Bestemmingspoort: Het poortnummer dat door de ontvangende toepassing wordt gebruikt.
* Bron MAC-adres: Het fysieke adres van het verzendende apparaat (laag 2).
* Bestemming MAC-adres: Het fysieke adres van het ontvangende apparaat (laag 2).
II. Protocol:
* IP-protocol: Identificeert het netwerklaagprotocol (bijvoorbeeld TCP, UDP, ICMP).
* Transportprotocol: Specificeert het transportlaagprotocol (TCP of UDP, in de meeste gevallen geïmpliceerd door het IP-protocol).
III. Pakketinhoud (diepe pakketinspectie - DPI):
* Specifieke bytereeksen: Het onderzoeken van de onbewerkte pakketgegevens op bepaalde bytepatronen (vereist meer verwerkingskracht).
* Zoekwoorden in payload: Zoeken naar specifieke woorden of zinsdelen binnen de applicatiegegevens (bijvoorbeeld het filteren van e-mail die bepaalde woorden bevat). Vaak gebruikt in combinatie met protocolfiltering (inspecteer bijvoorbeeld alleen HTTP-pakketten).
* Regelmatige expressies: Complexere patroonafstemming binnen de payload.
IV. Pakketkenmerken:
* Pakketgrootte: Minimale of maximale grootte van het pakket (in bytes).
* Tijd van de dag: Verkeer filteren op basis van specifieke tijden of schema's.
* Pakketvlaggen (TCP): Onderzoek van TCP-vlaggen (SYN, ACK, FIN, RST, enz.) om verbindingsfasen of abnormaal gedrag te identificeren.
* TTL (Time To Live): Het aantal hops dat een pakket kan afleggen voordat het wordt weggegooid. Kan worden gebruikt om potentiële aanvallen te identificeren.
* TOS/DiffServ (Type service/gedifferentieerde services): Quality of Service (QoS)-markeringen in de IP-header.
V. Informatie over applicatielaag (geavanceerde DPI):
* Applicatietype: Identificatie van de applicatie op basis van poortnummer en payload-analyse (bijvoorbeeld HTTP, FTP, SMTP, DNS).
* URL: Extraheren en filteren op basis van de URL binnen HTTP-pakketten.
Combinerende voorwaarden:
De kracht van pakketfiltering komt voort uit het combineren van deze omstandigheden. U kunt bijvoorbeeld een regel maken die al het TCP-verkeer van een specifiek IP-adres naar poort 443 op een webserver toestaat, terwijl al het UDP-verkeer van hetzelfde IP-adres naar elke poort wordt geblokkeerd. Dit maakt veilige HTTPS-toegang mogelijk en voorkomt andere potentieel kwaadaardige UDP-communicatie.
Opmerking: Het detailniveau dat beschikbaar is voor filteren is afhankelijk van de firewall of het netwerkapparaat dat wordt gebruikt. Eenvoudigere apparaten ondersteunen mogelijk alleen basisbron-/bestemmings-IP-, poort- en protocolfiltering, terwijl geavanceerdere apparaten geavanceerde DPI-mogelijkheden bieden. |
