Ein Application Level Gateway besteht, wie in About Security #32 beschrieben, aus zwei TCP/IP-Stacks und einem oder mehreren diese verbindenden Proxies, die jeweils für ein bestimmtes Protokoll der Anwendungsschicht zuständig sind. Protokolle, für die kein Proxy vorhanden ist, können das Gateway nicht passieren. Es besteht jedoch die Möglichkeit, dass ein Angreifer eine Schwachstelle oder Fehlkonfiguration ausnutzt, um eine andere Software diese Funktion übernehmen zu lassen und darüber ein eigentlich gesperrtes Protokoll zu verwenden. Insbesondere Software mit Routing-Funktionalität ist dabei gefährlich.

Die Proxies

Es wird zwischen zwei Arten von Proxies unterschieden:

Application Level Proxies

sind für bestimmte Protokolle zuständig. Sie können die Befehle des Protokolls analysieren und kontrollieren. Außerdem können sie zusätzliche Funktionen zur Identifikation und Authentifizierung bereitstellen.

Circuit Level Proxies

sind generische Proxies, die für eine Vielzahl von Protokollen verwendet werden können. Über diese auch als Port-Relays bezeichneten Proxies kann über einen definierten Port des Application Level Gateways eine Kommunikationsverbindung zu einer definierten IP-Adresse aufgebaut werden. Da die Verbindung über die Port-Nummer adressiert wird, kann nur eine einzige IP-Adresse das Ziel der Verbindung sein. Dadurch sind nur n:1-Verbindungen möglich: Viele Systeme (d.h. IP-Adressen) auf der einen Seite des Application Level Gateways können eine Verbindung zu einem System (d.h. einer IP-Adresse) auf der anderen Seite aufbauen. Circuit Level Proxies arbeiten auf der Transportschicht. Sie analysieren den Inhalt der über sie abgewickelten Kommunikation nicht.

Beispiele für Application Level Proxies

HTTP-Proxy

Der HTTP-Proxy kontrolliert Verbindungen von und zu einem Webserver. Die Verbindung wird vom Client zum HTTP-Port des Application Level Gateways (meist TCP-Port 80) aufgebaut. Der HTTP-Proxy baut daraufhin (je nach Bedarf erst nach einer Identifikation und Authentifizierung des Benutzers) eine zweite Verbindung zum TCP-Port 80 des Webservers auf. Danach kann der Client über den HTTP-Proxy des Application Level Gateways mit dem Webserver kommunizieren.

Zur Überwachung der Kommunikation werden zwei Filter angewendet:

• Der Befehlsfilter analysiert und überprüft die verwendeten Befehle. Verbotene Befehle können darüber ausgefiltert werden.
• Der Datenfilter analysiert und überprüft die aufgerufenen URLs und zu übertragenden Daten. Er kann einen Webserver vor bekannten schädlichen URLs, zum Beispiel den von Würmern zur Verbreitung genutzten, schützen. Auch die Übertragung verbotener Inhalte kann durch den Datenfilter unterbunden werden. Wird die Firewall zum Schutz von Client-Rechnern eingesetzt, können über den Datenfilter beispielsweise aktive Inhalte aus den übertragenen Webseiten entfernt werden.

Ist eine Identifikation und Authentifizierung notwendig, können benutzerspezifische Regeln für die Filterung verwendet werden.

Reauthentifizierung
Da das Protokoll HTTP zustandslos arbeitet, kann der HTTP-Proxy das Ende einer Session nicht von sich aus erkennen. Wird der HTTP-Proxy zur Authentifizierung verwendet, ist dies aber notwendig, damit sich der Benutzer nicht bei jedem Seitenaufruf erneut authentifizieren muss. Um dies Problem zu umgehen, wird nach der erfolgreichen Authentifizierung ein Timer gestartet, nach dessen Ablauf die Session für beendet erklärt und die Verbindung abgebaut wird. Jedes Mal, wenn eine Aktivität in der Session stattfindet, wird der Timer zurückgesetzt.

Mögliche Logfile-Einträge
Ein HTTP-Proxy kann z.B. folgende Daten protokollieren:

• IP-Adresse und Rechnername des Quell- und Zielsystems
• Uhrzeit und Datum des Verbindungsauf- und -abbaus
• ggf. Identifikationsdaten des Benutzers
• Anzahl der übertragenen Bytes
• Name der übertragenen Datei/Webseite
• ggf. Informationen über gefilterte Befehle und Inhalte

FTP-Proxy

Der FTP-Proxy kontrolliert die Kommunikation über FTP. Wie beim HTTP-Proxy wird die Verbindung für den Befehlskanal vom Client zu Port 21 des Application Level Gateways aufgebaut. Nach einer eventuell erforderlichen Identifikation und Authentifizierung des Benutzers baut der FTP-Proxy eine zweite Befehlsverbindung zum TCP-Port 21 des FTP-Servers auf. Danach kann der Client über den FTP-Proxy des Application Level Gateways mit dem FTP-Server kommunizieren.

Wie beim HTTP-Proxy werden dabei ein Befehls- und ein Datenfilter angewandt, die die verwendeten Befehle beziehungsweise Daten analysieren und prüfen. So kann beispielsweise dem Benutzer anonymous das Herunterladen bestimmter Dateitypen erlaubt und die Nutzung anderer Befehle verboten werden, während einem anderen Benutzer gezielt das Heraufladen von Dateien erlaubt wird.

Die möglichen Logfile-Einträge des FTP-Proxy sind die gleichen wie beim HTTP-Proxy.

In der nächsten Folge wird das Thema Application Level Gateways mit der Beschreibung von SMTP-Proxies und Circuit Level Proxies abgeschlossen.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"

• About Security #29: Die Firewall – Grundlagen
• About Security #30: Die Firewall – Paketfilter
• About Security #31: Die Firewall – FTP-Verbindungen
• About Security #32: Die Firewall – Application Level Gateway
• About Security #33: Die Firewall – Application Level Proxies
• About Security #34: Die Firewall – Circuit Level Proxies
• About Security #35: Die Firewall – Zusammenspiel der Komponenten
• About Security #36: Die Firewall – Demilitarisierte Zone