Mit Hilfe eines Paket-Filters kann man keine zusätzlichen Maßnahmen zur Authentifizierung der Identität des Angreifers vornehmen. Ist einem Angreifer also ein für den entsprechenden server gültiger Authentifikationsschlüssel bekannt, so stehen sämtliche Möglichkeiten dieses servers zur Verfügung, es sei denn, der entsprechende Dienst wird völlig verboten bzw. von außen nicht zugänglich gemacht.
Versucht ein Angreifer die Privilegien eines bestimmten servers zu seinen Zwecken zu mißbrauchen, so stehen je nach Ursache der Angriffsmöglichkeit die folgenden, recht eingeschränkten Möglichkeiten zur Absicherung zur Verfügung:
Da bugs und trapdoors in jedem Programm enthalten sein können, gibt es keinen hundertprozentigen Schutz gegen Angriffe, die dies ausnutzen. Die einzige Möglichkeit ist es, server, die bekanntermaßen über Fehler verfügen, durch andere zu ersetzen bzw. die Dienste, für die keine hinreichend sicheren server existieren nicht von außen zugänglich zu machen.
Da es meist unmöglich ist, daß der Betreiber des Firewalls gleichzeitig die Konfiguration sämtlicher server innerhalb des zu sichernden Netzes übernimmt, ist es nicht auszuschließen, daß hier Fehler auftreten können. Hier bleibt nur die Möglichkeit, die entsprechenden Systemadministratoren auf die hierdurch entstehenden Gefahren aufmerksam zu machen und Dienste, die aufgrund einer schwierigen Konfiguration eine Gefahr darstellen, ausschließlich von innen nach außen zu gestatten.
Handelt es sich um Dienste, bei denen der Benutzer Einfluß auf die Konfiguration nehmen kann, so sollten sie verboten werden, da man sich keinesfalls darauf verlassen kann, daß die Benutzer ihre Konfiguration im Hinblick auf die Sicherheit des Netzes wählen. Benutzer legen im allgemeinen mehr Wert auf Bequemlichkeit als auf Sicherheit bzw. verfügen meist gar nicht über das erforderliche Fachwissen, um eine entsprechend sichere Konfiguration vorzunehmen.
Resultiert die Fehlkonfiguration aus einem bereits erfolgten Angriff, so besteht natürlich keine Möglichkeit, diesen Dienst mit Hilfe eines Paket-Filters zu sichern.
Handelt es sich um einen Dienst, der über keine ausreichenden Sicherheitsmaßnahmen verfügt, so sollte er verboten werden, da auch mit Hilfe eines Paket-Filters keine Möglichkeiten zur Verfügung stehen, derartige Dienste hinreichend abzusichern.
Versucht ein Angreifer hingegen durch das Ausnutzen von Benutzerprivilegien seinen Angriff durchzuführen, so stellt ein Paketfilter keine Möglichkeiten zur Verfügung dies zu verhindern. Gelingt es einem Angreifer, ein trojan horse zu installieren, so kann mit keiner Art von Firewall mehr etwas dagegen unternommen werden, da die Programme ja daraufhin von autorisierten Benutzern ausgeführt werden. Beim Versenden gefälschter Mails kann ein Paket-Filter ebenfalls nichts unternehmen, da er nicht in der Lage ist, den Absender einer Mail zu überprüfen und zu verifizieren.
Ein Paket-Filter ist nicht in der Lage, einen server vor Überlastung zu schützen, da er zustandslos ist und somit bei Untersuchung eines Paketes nicht weiß, ob bereits eine große Anzahl gleichartiger Pakete an diesen server gesendet wurde.
Maskerade mittels IP-Spoofing ist ein Thema, daß speziell bei der Verwendung von Paket-Filtern besondere Bedeutung genießt. Da Paket-Filter sich bei der Identifizierung des Absenders eines Paketes nur auf die angegebene IP-Adresse verlassen können, eröffnet es einem Angreifer große Möglichkeiten, dies zu hintergehen. Paket-Filter können im einzelnen folgende Maßnahmen gehen IP-Spoofing ergreifen:
Die wohl einfachste Art des IP-Spoofing. Ebenso einfach ist aber auch die Verteidigung gegen derartigen Angriffe. Da es praktisch keinen sinnvollen Grund gibt, Pakete mit source-routing Option zuzulassen, können derartige Pakete einfach verworfen werden.
Verwendet ein Paket-Filter statische Routingtabellen, d. h. verläßt er sich nicht auf Informationen, die ihm durch andere Router (oder aber durch den Angreifer) mitgeteilt werden, so kann ein solcher Angriff gegen den Paket-Filter selber keinen Erfolg bringen. Gelingt es einem Angreifer aber, einen anderen Router auf dem Weg des Paketes zu seinem Ziel umzukonfigurieren, so können die Pakete doch an ein verkehrtes Ziel geleitet werden, wodurch der Angreifer eine falsche Identität annehmen kann.
Paket-Filter können einer Überlastung des Netzes entgegenwirken, indem sie broadcasts zurückweisen.
Ein Paket-Filter kann das Abhören des Netzverkehrs nicht verhindern. Er kann weder die Adressen des internen Netzes geheimhalten, noch kann er eine Verschlüsselung des Verkehrs vornehmen, um somit die Inhalte der Pakete vor eventuellen Angreifern zu verbergen.