Mit der Beschreibung von SMTP-Proxies und Circuit Level Proxies wird in dieser Folge das Thema Application Level Gateways abgeschlossen. Außerdem werden Vor- und Nachteile von Application Level Gateways aufgeführt.
SMTP-Proxies
SMTP-Proxies arbeiten nach dem Store-and-Forward-Prinzip: Sie nehmen eine Mail vollständig entgegen, speichern sie zwischen und leiten sie erst nach dem vollständigen Empfang an den Empfänger weiter. Dadurch muss der Mail Transfer Agent (MTA) nicht aus dem unsicheren Netz zugänglich sein. Vor der Weiterleitung können die E-Mails auf unerwünschte Inhalte, beispielsweise Spam oder Schadprogramme wie Viren und Würmer, geprüft werden.
N E U ! Security
aktuell
Täglich aktuelle Security-Infos!
Der SMTP-Proxy arbeitet nicht benutzerorientiert.
Ein SMTP-Proxy kann zum Beispiel folgende Daten protokollieren:
- IP-Adresse und Rechnername des Quellsystems
- Uhrzeit und Datum des Verbindungsauf- und -abbaus
- Absender und Empfänger der E-Mail (aus dem E-Mail-Header)
- Anzahl der übertragenen Bytes
- Gegebenenfalls Informationen über ausgefilterte E-Mails oder Inhalte
Der MTA kann IP-Adresse und Rechnernamen des Zielsystems hinzufügen.
Circuit Level Proxies
n:1-Port-Relays
Wie bereits erwähnt, sind über Circuit Level Proxies
beziehungsweise Port-Relays nur n:1-Verbindungen
möglich.
Dies kann beispielsweise genutzt werden, um Clients aus dem
geschützten Netz den Zugriff auf einen Server vor dem Application
Level Gateway, zum Beispiel einen Mailserver, zu ermöglichen. Ein
Verbindungsaufbau ist nur von innen nach außen möglich, nicht
jedoch von außen nach innen.
| Beispiel für die Umsetzungstabelle eines n:1-Port-Relays | ||||
|---|---|---|---|---|
| Quell-IP-Adressen im geschützten Netz (n) |
Ziel-IP-Adresse des ALG im geschützten Netz |
Portnummer | Quell-IP-Adresse des ALG im unsicheren Netz |
Ziel-IP-Adresse des Servers im unsicheren Netz (1) |
|
|
||||
| 192.168.1.1, 192.168.1.2, 192.168.1.3, 192.168.1.4 |
192.168.1.100 | 110 | 10.11.12.1 | 10.11.12.100 |
Die vier Clients mit den IP-Adressen 192.168.1.1, 192.168.1.2, 192.168.1.3 und 192.168.1.4 greifen im geschützten Netz auf Port 110 des Application Level Gateways 192.168.1.100 zu. Dieses leitet die Daten im unsicheren Netz unter der IP-Adresse 10.11.12.1 an den Server 10.11.12.100 weiter.
n:m-Port-Relays
Sollen mehrere Clients von der einen Seite des Application Level
Gateways
auf mehrere Server auf der anderen Seite zugreifen, reicht ein
n:1-Port-Relay nicht aus. Stattdessen ist ein
n:m-Port-Relay notwendig. Dies kann aus m
n:1-Port-Relays
aufgebaut werden. Zum Beispiel können so mehrere Clients aus dem
unsicheren Netz auf verschiedene Systeme im geschützten Netz
zugreifen.
Dazu werden m n:1-Port-Relays für die verschiedenen IP-Adressen aus dem unsicheren Netz eingerichtet, denen ein Zugriff auf die Server im geschützten Netz erlaubt ist. Außerdem wird festgelegt, über welche Ports und auf welche Systeme im geschützten Netz zugegriffen wird.
Für die Clients aus dem unsicheren Netz sind die IP-Adressen im geschützten Netz unsichtbar. Sie sehen nur die IP-Adressen und Ports der Port-Relays auf dem Application Level Gateway.
| Beispiel für die Umsetzungstabelle eines n:m-Port-Relays | ||||
|---|---|---|---|---|
| Quell-IP-Adressen im unsicheren Netz (n) | Ziel-IP-Adresse des ALG im unsicheren Netz |
Portnummer | Quell-IP-Adresse des ALG im geschützten Netz |
Ziel-IP-Adressen der Server im geschützten Netz (m) |
|
|
||||
| 10.11.12.1, 10.11.12.2, 10.11.12.3, 10.11.12.4 |
10.11.12.100 | 5153 | 192.168.1.100 | 192.168.1.1 |
| 10.11.12.1, 10.11.12.2, 10.11.12.3, 10.11.12.4 |
10.11.12.110 | 5153 | 192.168.1.100 | 192.168.1.2 |
| 10.11.12.2, 10.11.12.4, 10.11.12.6, 10.11.12.8 |
10.11.12.120 | 5153 | 192.168.1.100 | 192.168.1.3 |
Die Clients 10.11.12.1, 10.11.12.2, 10.11.12.3 und 10.11.12.4 greifen im unsicheren Netz auf Port 5153 des Application Level Gateway mit der IP-Adresse 10.11.12.100 zu, um den Server 192.168.1.1 im geschützten Netz zu erreichen. Das Application Level Gateway verwendet im geschützten Netz die IP-Adresse 192.168.1.100. Entsprechendes gilt für den Zugriff auf die anderen Server. Ein Verbindungsaufbau in der Gegenrichtung, d.h. vom Server zum Client, ist nicht möglich.
Mögliche Logfile-Einträge
Ein Port-Relay kann z.B. folgende Daten protokollieren:
- IP-Adresse und Rechnername des Quell- und Zielsystems
- Uhrzeit und Datum des Verbindungsauf- und -abbaus
- Anzahl der übertragenen Bytes
Vor- und Nachteile von Application Level Gateways
Vorteile und Besonderheiten
- Die Proxies sind aufgrund des eingeschränkten und spezialisierten Funktionsumfangs leicht überprüfbar.
- Da alle Pakete die Proxies passieren müssen, sind Application Level Gateways sehr sicher, außerdem entkoppeln sie unsicheres und geschütztes Netz.
- Die Struktur des internen Netzes wird verborgen.
- Sowohl Verbindungs- als auch Anwendungsdaten (*) können protokolliert werden.
- Sicherheitsfunktionen auf Anwendungsschicht stehen zur Verfügung (*).
(*) nicht bei Circuit Level Proxies
Nachteile und Grenzen
- Geringe Flexibilität, da für jedes hinzugefügte Protokoll ein neuer Proxy installiert werden muß.
- Höhere Komplexität und dadurch geringere Performance.
- Das Application Level Gateway arbeitet im Gegensatz zum Paketfilter nicht zwingend transparent.
Wie man Paketfilter und Application Level Gateway miteinander kombiniert, erfahren Sie in der nächsten Folge.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security – Übersicht zum aktuellen Thema "Firewall"
- About Security #29: Die Firewall – Grundlagen
- About Security #30: Die Firewall – Paketfilter
- About Security #31: Die Firewall – FTP-Verbindungen
- About Security #32: Die Firewall – Application Level Gateway
- About Security #33: Die Firewall – Application Level Proxies
- About Security #34: Die Firewall – Circuit Level Proxies
- About Security #35: Die Firewall – Zusammenspiel der Komponenten
- About Security #36: Die Firewall – Demilitarisierte Zone
Kommentare