Donnerstag, 1. Juli 2010


Topthema

Donnerstag, 1. Dezember 2005 | Topthema

About Security #34: Die Firewall — Circuit Level Proxies

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/025634)

Mit der Beschreibung von SMTP-Proxies und Circuit Level Proxies wird in dieser Folge das Thema Application Level Gateways abgeschlossen. Außerdem werden Vor- und Nachteile von Application Level Gateways aufgeführt.

SMTP-Proxies

SMTP-Proxies arbeiten nach dem Store-and-Forward-Prinzip: Sie nehmen eine Mail vollständig entgegen, speichern sie zwischen und leiten sie erst nach dem vollständigen Empfang an den Empfänger weiter. Dadurch muss der Mail Transfer Agent (MTA) nicht aus dem unsicheren Netz zugänglich sein. Vor der Weiterleitung können die E-Mails auf unerwünschte Inhalte, beispielsweise Spam oder Schadprogramme wie Viren und Würmer, geprüft werden.

N E U ! Security aktuell
Täglich aktuelle Security-Infos!

Der SMTP-Proxy arbeitet nicht benutzerorientiert.

Ein SMTP-Proxy kann zum Beispiel folgende Daten protokollieren:

  • IP-Adresse und Rechnername des Quellsystems
  • Uhrzeit und Datum des Verbindungsauf- und -abbaus
  • Absender und Empfänger der E-Mail (aus dem E-Mail-Header)
  • Anzahl der übertragenen Bytes
  • Gegebenenfalls Informationen über ausgefilterte E-Mails oder Inhalte

Der MTA kann IP-Adresse und Rechnernamen des Zielsystems hinzufügen.

Circuit Level Proxies

n:1-Port-Relays
Wie bereits erwähnt, sind über Circuit Level Proxies beziehungsweise Port-Relays nur n:1-Verbindungen möglich. Dies kann beispielsweise genutzt werden, um Clients aus dem geschützten Netz den Zugriff auf einen Server vor dem Application Level Gateway, zum Beispiel einen Mailserver, zu ermöglichen. Ein Verbindungsaufbau ist nur von innen nach außen möglich, nicht jedoch von außen nach innen.

Beispiel für die Umsetzungstabelle eines n:1-Port-Relays
Quell-IP-Adressen
im geschützten Netz (n)
Ziel-IP-Adresse
des ALG im geschützten Netz
Portnummer Quell-IP-Adresse
des ALG im
unsicheren Netz
Ziel-IP-Adresse des Servers im unsicheren Netz (1)

192.168.1.1,
192.168.1.2,
192.168.1.3,
192.168.1.4
192.168.1.100 110 10.11.12.1 10.11.12.100

Die vier Clients mit den IP-Adressen 192.168.1.1, 192.168.1.2, 192.168.1.3 und 192.168.1.4 greifen im geschützten Netz auf Port 110 des Application Level Gateways 192.168.1.100 zu. Dieses leitet die Daten im unsicheren Netz unter der IP-Adresse 10.11.12.1 an den Server 10.11.12.100 weiter.

n:m-Port-Relays
Sollen mehrere Clients von der einen Seite des Application Level Gateways auf mehrere Server auf der anderen Seite zugreifen, reicht ein n:1-Port-Relay nicht aus. Stattdessen ist ein n:m-Port-Relay notwendig. Dies kann aus m n:1-Port-Relays aufgebaut werden. Zum Beispiel können so mehrere Clients aus dem unsicheren Netz auf verschiedene Systeme im geschützten Netz zugreifen.

About Security: Die komplette Serie

Dazu werden m n:1-Port-Relays für die verschiedenen IP-Adressen aus dem unsicheren Netz eingerichtet, denen ein Zugriff auf die Server im geschützten Netz erlaubt ist. Außerdem wird festgelegt, über welche Ports und auf welche Systeme im geschützten Netz zugegriffen wird.

Für die Clients aus dem unsicheren Netz sind die IP-Adressen im geschützten Netz unsichtbar. Sie sehen nur die IP-Adressen und Ports der Port-Relays auf dem Application Level Gateway.

Beispiel für die Umsetzungstabelle eines n:m-Port-Relays
Quell-IP-Adressen im unsicheren Netz (n) Ziel-IP-Adresse
des ALG im
unsicheren Netz
Portnummer Quell-IP-Adresse
des ALG im
geschützten Netz
Ziel-IP-Adressen der Server im geschützten Netz (m)

10.11.12.1,
10.11.12.2,
10.11.12.3,
10.11.12.4
10.11.12.100 5153 192.168.1.100 192.168.1.1
10.11.12.1,
10.11.12.2,
10.11.12.3,
10.11.12.4
10.11.12.110 5153 192.168.1.100 192.168.1.2
10.11.12.2,
10.11.12.4,
10.11.12.6,
10.11.12.8
10.11.12.120 5153 192.168.1.100 192.168.1.3

Die Clients 10.11.12.1, 10.11.12.2, 10.11.12.3 und 10.11.12.4 greifen im unsicheren Netz auf Port 5153 des Application Level Gateway mit der IP-Adresse 10.11.12.100 zu, um den Server 192.168.1.1 im geschützten Netz zu erreichen. Das Application Level Gateway verwendet im geschützten Netz die IP-Adresse 192.168.1.100. Entsprechendes gilt für den Zugriff auf die anderen Server. Ein Verbindungsaufbau in der Gegenrichtung, d.h. vom Server zum Client, ist nicht möglich.

Mögliche Logfile-Einträge

Ein Port-Relay kann z.B. folgende Daten protokollieren:

  • IP-Adresse und Rechnername des Quell- und Zielsystems
  • Uhrzeit und Datum des Verbindungsauf- und -abbaus
  • Anzahl der übertragenen Bytes
Vor- und Nachteile von Application Level Gateways
Vorteile und Besonderheiten
  • Die Proxies sind aufgrund des eingeschränkten und spezialisierten Funktionsumfangs leicht überprüfbar.
  • Da alle Pakete die Proxies passieren müssen, sind Application Level Gateways sehr sicher, außerdem entkoppeln sie unsicheres und geschütztes Netz.
  • Die Struktur des internen Netzes wird verborgen.
  • Sowohl Verbindungs- als auch Anwendungsdaten (*) können protokolliert werden.
  • Sicherheitsfunktionen auf Anwendungsschicht stehen zur Verfügung (*).

(*) nicht bei Circuit Level Proxies

Nachteile und Grenzen
  • Geringe Flexibilität, da für jedes hinzugefügte Protokoll ein neuer Proxy installiert werden muß.
  • Höhere Komplexität und dadurch geringere Performance.
  • Das Application Level Gateway arbeitet im Gegensatz zum Paketfilter nicht zwingend transparent.

Wie man Paketfilter und Application Level Gateway miteinander kombiniert, erfahren Sie in der nächsten Folge.

Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"

Kommentare

Folgende Links könnten Sie auch interessieren

  • Hardcore Java  [11.01.2005]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,323,.html]
  • Hardcore Java  [07.02.2005]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,327,.html]
  • Hardcore Java  [04.05.2004]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,283,.html]
  • SpamAssassin  [20.06.2005]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,407,.html]
  • J2EE and .NET: Presentation Tier Interoperability  [11.03.2005]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,676,.html]