Neben den gebräuchlichsten Filtereinstellungen werden von Gibraltar auch noch weitere Optionen unterstützt, die eine detailliertere Paketfilterung zulassen.
Der erste Teil - Match Extensions - beschäftigt sich mit der Überprüfung der Regeln durch angegebene Werte. Falls das zu überprüfende Paket den angegebenen Werten entspricht (match), trifft diese Regel zu und das Paket wird dementsprechend behandelt.
Folgende Optionen stehen hierbei zur Verfügung:
▪ | Fragmentierung: Wählen Sie aus dem Auswahlfeld eine der Optionen aus, um zu überprüfen, ob das Paket ein Teil eines größeren Pakets ist. Pakete, die eine gewisse Größe überschreiten, werden fragmentiert, also in mehrere kleine Pakete unterteilt. Sie können hier zwischen drei Möglichkeiten auswählen. |
none: Wählen Sie diese Option, wenn Sie diese Funktion nicht verwenden wollen.
not fragmented: Wählen Sie diese Option, wenn nicht fragmentierte Pakete behandelt werden sollen.
fragmented: Wählen Sie diese Option, wenn fragmentierte Pakete behandelt werden sollen.
Wird ein Paket bspw. in drei kleinere Pakete unterteilt, so wird beim zweiten und beim dritten Teil ein Bit für die Fragmentierung gesetzt. Ist nun die Option fragmented aktiviert, so werden der zweite und dritte Teil gefiltert. Im Fall der Auswahl not fragmented wird nur der erste Teil gefiltert.
▪ | Quell MAC-Adresse: Geben Sie hier eine MAC-Adresse an, wenn Sie die Behandlung auf spezielle MAC-Adressen einschränken wollen. Jedes Netzwerkinterface wird durch eine eindeutige Kennung identifiziert. Diese besteht aus einer sechsteiligen Kombination, in der Hersteller und Typ kodiert enthalten sind. Die sechs Teile der Kennung, die aus jeweils zwei hexadezimalen Ziffern (0-9, A-F) bestehen, werden durch Doppelpunkte unterteilt. Durch diese Option kann man nur Pakete von bestimmten Netzwerkkarten bzw. Modems zulassen, was die Sicherheit, jedoch auch den Wartungsaufwand enorm erhöht. |
▪ | Limit: Durch diese Option haben Sie die Möglichkeit, zu dieser Regel passende Pakete bis zu einer gewissen Anzahl ihres Auftretens zu filtern. Kommt es zum Beispiel durch eine Attacke zu einer Häufung von Anfragen von der IP-Adresse 4.3.2.1 auf verschiedenste Ports von Gibraltar, so kann man durch eine Angabe im Textfeld Limit bestimmen, dass die Pakete nur bis zu einer gewissen Anzahl von Anfragen angenommen werden. Hier sind also nur numerische Werte möglich. Diese Anzahl muss in einem in dem anschließenden Auswahlfeld angegebenen, zeitlichen Bereich erfolgen. Mögliche Werte sind hier /second, /minute, /hour oder /day. Durch die zusätzliche Angabe eines Wertes im Textfeld Limit-burst können Sie eine manchmal, zum Beispiel beim Verbindungsaufbau, auftretende Häufung an Paketen abfangen. Am einfachsten erklärt ist die Limitoption mit einem Behälter, der ein Loch hat, durch das Objekte entweichen können. Solange Objekte im Behälter sind, spricht die Regel an. Zu Beginn sind soviele Objekte im Behälter, wie der Wert in Limit-burst beträgt. Für jedes entsprechende Paket wird ein Objekt durch das Loch entfernt. Erreicht man die durch Limit festgesetzte Grenze nicht innerhalb der angegebenen Zeiteinheit, so wird der Vorrat wieder um ein Objekt erhöht, bis er wieder den Wert von Limit-burst erreicht. Wird das Limit erreicht, so greift diese Regel nicht mehr. |
▪ | Beispiel für die Anwendung: Verhinderung von DoS-Attacken (z.B. SYN-Flood, Ping of Death). |
▪ | SPI: Geben Sie hier einen Wert ein, wenn Sie Pakete des AH- bzw. ESP-Protokolls matchen wollen, die auf dem Security Parameter Index (SPI) basieren. Jede Funktion von IPSec fügt einen optionalen Header zum IP Paket hinzu. Mit dem SPI, der in diesem zusätzlichen Header enthalten ist, geben Sie einen numerischen Wert ein, auf dessen Basis die Verschlüsselungsverfahren ausgewählt werden. Es kann hier auch ein Bereich eingegeben werden, wobei der Start- und der Endwert mit einem Doppelpunkt zu trennen sind und der Startwert kleiner als der Endwert sein muss (z.B. 480:500). |
▪ | Länge: Geben Sie einen numerischen Wert in dieses Textfeld ein, um die Länge des Paketes zu überprüfen. Dieser Wert kann sowohl ein einzelner Wert sein, als auch einen Bereich umfassen, der mit einem Doppelpunkt zwischen Start- und Endwert definiert werden muss (z.B. 800:1000) und der kleinere Wert links stehen muss. Trifft ein Paket mit der definierten Länge ein, so wird es entsprechend des Target dieser Regel weiterbehandelt. Die Längenangabe ist in Bytes definiert. |
▪ | TTL: Durch die Eingabe eines numerischen Wertes in dieses Textfeld TTL wird das Time To Live Feld des eintreffenden Pakets überprüft. Liegt eine Übereinstimmung vor, so soll entsprechend der Regel vorgegangen werden. Der Wert Time To Live in einem Paket gibt an, wie viele Hops, also Schritte ein Paket von einem Netzwerkelement zum nächsten auf dem Weg durch das Internet durchführen soll, bevor es ungültig und verworfen wird. |
Der zweite Teil - Package Modification - beschäftigt sich mit der Veränderung der Pakete. Eintreffende Pakete werden in der angegebenen Form verändert, wenn sie den Werten der übrigen Optionen entsprechen.
Folgende Optionen stehen hierbei zur Verfügung:
▪ | TTL: Wählen Sie aus dem Auswahlfeld eine Option aus, um den Wert des TTL-Feldes des Paketes zu verändern. Mögliche Optionen sind:
none: Wählen Sie diese Option, um keine Veränderung durchzuführen.
set: Wählen Sie diese Option, um das TTL-Feld auf den Wert im nebenstehenden Textfeld zu setzen.
inc: Wählen Sie diese Option, um das TTL-Feld um den Wert im nebenstehenden Textfeld zu erhöhen.
dec: Wählen Sie diese Option, um das TTL-Feld um den Wert im nebenstehenden Textfeld zu verringern. |

|