News Drucken: About Security #34: Die Firewall

Mit der Beschreibung von SMTP-Proxies und Circuit Level Proxies wird in dieser Folge das Thema Application Level Gateways abgeschlossen. Außerdem werden Vor- und Nachteile von Application Level Gateways aufgeführt.

SMTP-Proxies

SMTP-Proxies arbeiten nach dem Store-and-Forward-Prinzip: Sie nehmen eine Mail vollständig entgegen, speichern sie zwischen und leiten sie erst nach dem vollständigen Empfang an den Empfänger weiter. Dadurch muss der Mail Transfer Agent (MTA) nicht aus dem unsicheren Netz zugänglich sein. Vor der Weiterleitung können die E-Mails auf unerwünschte Inhalte, beispielsweise Spam oder Schadprogramme wie Viren und Würmer, geprüft werden.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Der SMTP-Proxy arbeitet nicht benutzerorientiert.

Ein SMTP-Proxy kann zum Beispiel folgende Daten protokollieren:

IP-Adresse und Rechnername des Quellsystems
Uhrzeit und Datum des Verbindungsauf- und -abbaus
Absender und Empfänger der E-Mail (aus dem E-Mail-Header)
Anzahl der übertragenen Bytes
Gegebenenfalls Informationen über ausgefilterte E-Mails oder Inhalte

Der MTA kann IP-Adresse und Rechnernamen des Zielsystems hinzufügen.

Circuit Level Proxies

n:1-Port-Relays
Wie bereits erwähnt, sind über Circuit Level Proxies beziehungsweise Port-Relays nur n:1-Verbindungen möglich. Dies kann beispielsweise genutzt werden, um Clients aus dem geschützten Netz den Zugriff auf einen Server vor dem Application Level Gateway, zum Beispiel einen Mailserver, zu ermöglichen. Ein Verbindungsaufbau ist nur von innen nach außen möglich, nicht jedoch von außen nach innen.

Beispiel für die Umsetzungstabelle eines n:1-Port-Relays
Quell-IP-Adressen im geschützten Netz (n)	Ziel-IP-Adresse des ALG im geschützten Netz	Portnummer	Quell-IP-Adresse des ALG im unsicheren Netz	Ziel-IP-Adresse des Servers im unsicheren Netz (1)

192.168.1.1, 192.168.1.2, 192.168.1.3, 192.168.1.4	192.168.1.100	110	10.11.12.1	10.11.12.100

Die vier Clients mit den IP-Adressen 192.168.1.1, 192.168.1.2, 192.168.1.3 und 192.168.1.4 greifen im geschützten Netz auf Port 110 des Application Level Gateways 192.168.1.100 zu. Dieses leitet die Daten im unsicheren Netz unter der IP-Adresse 10.11.12.1 an den Server 10.11.12.100 weiter.

n:m-Port-Relays
Sollen mehrere Clients von der einen Seite des Application Level Gateways auf mehrere Server auf der anderen Seite zugreifen, reicht ein n:1-Port-Relay nicht aus. Stattdessen ist ein n:m-Port-Relay notwendig. Dies kann aus m n:1-Port-Relays aufgebaut werden. Zum Beispiel können so mehrere Clients aus dem unsicheren Netz auf verschiedene Systeme im geschützten Netz zugreifen.

Dazu werden m n:1-Port-Relays für die verschiedenen IP-Adressen aus dem unsicheren Netz eingerichtet, denen ein Zugriff auf die Server im geschützten Netz erlaubt ist. Außerdem wird festgelegt, über welche Ports und auf welche Systeme im geschützten Netz zugegriffen wird.

Für die Clients aus dem unsicheren Netz sind die IP-Adressen im geschützten Netz unsichtbar. Sie sehen nur die IP-Adressen und Ports der Port-Relays auf dem Application Level Gateway.

Beispiel für die Umsetzungstabelle eines n:m-Port-Relays
Quell-IP-Adressen im unsicheren Netz (n)	Ziel-IP-Adresse des ALG im unsicheren Netz	Portnummer	Quell-IP-Adresse des ALG im geschützten Netz	Ziel-IP-Adressen der Server im geschützten Netz (m)

10.11.12.1, 10.11.12.2, 10.11.12.3, 10.11.12.4	10.11.12.100	5153	192.168.1.100	192.168.1.1
10.11.12.1, 10.11.12.2, 10.11.12.3, 10.11.12.4	10.11.12.110	5153	192.168.1.100	192.168.1.2
10.11.12.2, 10.11.12.4, 10.11.12.6, 10.11.12.8	10.11.12.120	5153	192.168.1.100	192.168.1.3

Die Clients 10.11.12.1, 10.11.12.2, 10.11.12.3 und 10.11.12.4 greifen im unsicheren Netz auf Port 5153 des Application Level Gateway mit der IP-Adresse 10.11.12.100 zu, um den Server 192.168.1.1 im geschützten Netz zu erreichen. Das Application Level Gateway verwendet im geschützten Netz die IP-Adresse 192.168.1.100. Entsprechendes gilt für den Zugriff auf die anderen Server. Ein Verbindungsaufbau in der Gegenrichtung, d.h. vom Server zum Client, ist nicht möglich.

Mögliche Logfile-Einträge

Ein Port-Relay kann z.B. folgende Daten protokollieren:

IP-Adresse und Rechnername des Quell- und Zielsystems
Uhrzeit und Datum des Verbindungsauf- und -abbaus
Anzahl der übertragenen Bytes

Vor- und Nachteile von Application Level Gateways

Vorteile und Besonderheiten

Die Proxies sind aufgrund des eingeschränkten und spezialisierten Funktionsumfangs leicht überprüfbar.
Da alle Pakete die Proxies passieren müssen, sind Application Level Gateways sehr sicher, außerdem entkoppeln sie unsicheres und geschütztes Netz.
Die Struktur des internen Netzes wird verborgen.
Sowohl Verbindungs- als auch Anwendungsdaten (*) können protokolliert werden.
Sicherheitsfunktionen auf Anwendungsschicht stehen zur Verfügung (*).

(*) nicht bei Circuit Level Proxies

Nachteile und Grenzen

Geringe Flexibilität, da für jedes hinzugefügte Protokoll ein neuer Proxy installiert werden muß.
Höhere Komplexität und dadurch geringere Performance.
Das Application Level Gateway arbeitet im Gegensatz zum Paketfilter nicht zwingend transparent.

Wie man Paketfilter und Application Level Gateway miteinander kombiniert, erfahren Sie in der nächsten Folge.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"