Packet Filter Networks

In den vergangenen Jahren haben die Betreiber von privaten und öffentlichen IP-Netzwerken eine erhöhte Menge an Sicherheitszwischenfällen gehabt, von den eher seltenen gezielten Einbruchsversuchen, bis hin zu den eher häufiger vorkommenden Würmern und Viren. Eine Methode, um sich gegen diese Bedrohungen zu schützen, ist die Einrichtung und Aufrechterhaltung besonderer Verkehrsüberprüfungen und Blockfunktionen, an den Ausgängen des Netzes. Systeme mit solchen Funktionen sind gemeinhin als „Firewall" bekannt. Sie sind oft nicht nur in der Lage einfache Paketfilterungen durchzuführen, sondern auch die Überprüfung des Inhalts der gesamten zusammengesetzten Verbindungen.

Der große Vorteil beim Einsatz von Firewalls ist organisatorischer Natur: Wartung eines Systems, das unerwünschten Verkehr abhält (und schädliche Inhalte die mit eingeschleppt würden) statt der individuellen Sicherung von hunderten oder sogar tausenden von Endsystemen innerhalb des Netzwerks. Allerdings ist dies nur ökonomisch sinnvoll, wenn die Anzahl der Links nicht vertrauenswürdige Netz-Segmente vergleichsweise gering ist. Besonders große IP-Netzbetreiber sind mit dem Problem konfrontiert, dass sie viele Zugangspunkte zu anderen Netzwerken haben mit sehr hohem Datendurchsatz an diesen Punkten. Dies macht die Einrichtung und Wartung von Firewall-Systemen an Knotenpunkten eine untragbar teure Aufgabe.  Dennoch IP-Carrier haben eine erhöhte Nachfrage nach Filter-Funktionen, besonders um interne Kommunikation vor Denial-of-Service(DoS)-Attacken zu schützen. Während gemeinsame Protokolle für Router und Switches Authentifizierung und Integritätscheck Mechanismen (z.B. SSH und SNMPv3) bieten, um unbefugten Zugriff zu vermeiden, erlauben sie es Angreifern effektive DoS-Attacken gegen die algorithmische Komplexität dieser kryptographischen Funktionen zu starten.

Um den Einsatz von teuren Firewalls für Paketfilterung zu vermeiden, können Betreiber in der Regel auf die Fähigkeiten von kommerziellen Off-the-shelf-Routing-  und Switching-Plattformen zurückgreifen. Dies ist in der Regel eine sehr einfache Art und Weise, indem Filterregeln für Schnittstellen, in den Router oder Switch CLIs, konfiguriert werden. Ein Nachteil dieser Methode ist, dass eine Automatisierung schwierig ist, insbesondere in heterogenen Umgebungen, was passiert, wenn Betreiber Netze erweitern oder zusammenfassen. Filterkonfigurationen müssen dann häufig angepasst werden, um mit den spezifischen Konfigurationssyntaxen der Routing-Plattformen übereinzustimmen.

Das Ziel des Packet Filter Network Projektes ist es, eine formale Basis für die allgemeine Filter-Netzwerkkonfiguration zu unterstützen und ein Tool zu implementieren, dass automatisch die beste Filterverteilung für ein bestimmtes Netzwerk berechnet.