Donnerstag, 1. Juli 2010


Topthema

Donnerstag, 17. November 2005 | Topthema

About Security #32: Die Firewall — Application Level Gateway

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/025362)

Mit dem Aufstellen und Anordnen der Regeln endet in dieser Folge die Beschreibung von Paketfiltern, au�erdem werden die Vor- und Nachteile eines Paketfilters beschrieben. Anschlie�end lernen Sie Application Level Gateways kennen.

Filterregeln

Bei den Regeln f�r Paketfilter gibt es zwei Ans�tze: Entweder es wird alles erlaubt und nur potenziell gef�hrliche Pakete werden ausgefiltert (Default allow), oder es wird alles verboten und nur die gew�nschten Pakete werden durchgeleitet (Default deny). Wie meistens, ist der Default-deny-Ansatz die bessere Wahl. Nur so kann garantiert werden, dass keine Filterregel f�r unerw�nschte Pakete vergessen wurde. Au�erdem ist es weitaus einfacher, eine relativ kurze Liste erw�nschter Pakete zu verwalten als eine lange Liste potenziell gef�hrlicher. Im einfachsten Fall (ein Webserver, davor ein Paketfilter, keine weiteren Server oder Clients im lokalen Netz) kommt man mit den drei Regeln aus dem ersten Beispiel (siehe About Security #29) aus: HTTP-Verbindungen sind erlaubt, alles andere ist verboten.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Reihenfolge der Regeln

Die Regeln werden in der Reihenfolge angewendet, in der sie angegeben wurden. Sobald eine Regel auf das aktuelle Paket zutrifft, wird sie angewendet und eventuell vorhandene weitere passende Regeln kommen nicht mehr zum Zug. Daher muss beim Aufstellen der Regeln besonders auf die richtige Reihenfolge geachtet werden: Steht eine allgemeine Regel vor einer speziellen, wird die spezielle Regel nie angewendet.

Ein Beispiel
Regel 5 "Verwerfe alle Pakete von den IP-Adressen a.b.*.*"
Regel 8 "Akzeptiere IMAP-Verbindungen von der IP-Adresse a.b.c.d"

Der Rechner mit der IP-Adresse a.b.c.d hat das Nachsehen: Auf seine Pakete wird die erste passende Regel angewendet und die Pakete werden verworfen.

Vor- und Nachteile von Paketfiltern
Vorteile und Besonderheiten von Paketfiltern
  • Paketfilter arbeiten transparent, d.h. sie sind f�r Benutzer und beteiligte Rechner unsichtbar und arbeiten ohne deren aktive Mitarbeit.
  • Sie sind leicht f�r neue Protokolle und Dienste erweiterbar.
  • Sie sind nicht an bestimmte Protokollfamilien gebunden, sondern flexibel verwendbar.
  • Durch den relativ einfachen Aufbau bieten sie eine hohe Performance und sind leicht realisierbar.
Nachteile und Grenzen von Paketfiltern
  • Daten oberhalb der Transportschicht werden nicht analysiert.
  • Paketfilter bieten keine Sicherheit auf der Anwendungsschicht: Angriffe auf einen freigegebenen Port sind m�glich.
  • Sie bieten keinen Schutz vor Schadprogrammen, die aus dem lokalen Netz eine Verbindung nach au�en aufbauen.
  • Die Struktur des internen Netzes wird nicht verborgen.
  • Logfiles (dazu in einem sp�teren Feature mehr) enthalten nur Informationen bis zur Transportschicht.

Zustandsorientierte Paketfilter analysieren auch die Daten der Anwendungsschicht, daher treffen die obigen Punkte f�r sie nur teilweise zu.

Vorteile und Besonderheiten zustandsorientierter Paketfilter
  • Auch zustandsorientierte Paketfilter arbeiten transparent.
  • Sie sind leicht f�r neue Protokolle und Dienste erweiterbar.
  • Sie sind nicht an bestimmte Protokollfamilien gebunden.
Nachteile und Grenzen zustandsorientierter Paketfilter
  • Aufgrund der zus�tzlichen Analysen sind sie deutlich komplexer als zustandslose Paketfilter. Ihre Performance ist dadurch geringer und sie sind schwieriger zu realisieren.
  • Sie bieten keinen Schutz vor Schadprogrammen, die aus dem lokalen Netz eine Verbindung nach au�en aufbauen.
  • Die Struktur des internen Netzes wird nicht verborgen.

Damit wird das Thema "Paketfilter" vorerst abgeschlossen. Bei Bedarf wird sp�ter noch einmal auf Details eingegangen.

Application Level Gateway
About Security: Die komplette Serie

Wie der Name schon sagt, arbeiten Application Level Gateways auf der Anwendungsschicht des TCP/IP-Schichtenmodells. So genannte Dual-homed Gateways mit zwei Netzwerkanschl�ssen entkoppeln die angeschlossenen Netze sowohl logisch als auch physikalisch. Ein Application Level Gateway kann auch als Single-homed Gateway mit nur einem Netzwerkanschluss realisiert werden. Dann besteht jedoch die Gefahr, dass ein Angreifer die Schutzfunktion umgeht.

Application Level Gateway
Proxy
Anwendungsschicht Anwendungsschicht
Transportschicht Transportschicht
Netzwerkschicht Netzwerkschicht
Netzzugangsschicht Netzzugangsschicht
Physikalisches Netzwerk Physikalisches Netzwerk

Das Application Level Gateway empf�ngt �ber einen seiner TCP/IP-Stacks Pakete, die bis zur Anwendungsschicht normal verarbeitet werden. Auf der Anwendungsschicht sorgt eine spezielle Software f�r die �bertragung zum zweiten TCP/IP-Stack. Diese Software wird als Proxy (Stellvertreter) bezeichnet, da es aus Sicht der jeweiligen Kommunikationspartner so aussieht, als w�rden sie mit dem Proxy kommunizieren. F�r jedes Protokoll der Anwendungsschicht, das das Application Level Gateway verarbeitet, ist ein eigener Proxy zust�ndig. Protokolle, f�r die kein Proxy vorhanden ist, k�nnen das Gateway nicht passieren.

Das Application Level Gateway hat die vollst�ndige Kontrolle �ber alle zwischen dem zu sch�tzenden und dem unsicheren Netzwerk �bertragenen Pakete. Seine Funktionsweise wird in der n�chsten Folge n�her betrachtet.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Firewall"

Kommentare

Folgende Links könnten Sie auch interessieren