Linux Firewalls Teil 7 – Application-Level-Gateway(Proxy)

In diesem Teil der Linux-Firewall-Reihe wird der Dinosaurier unter den Firewall-Technologien behandelt, der Application-Level-Gateway oder auch Proxy. In diesem Artikel wird die Geschichte und Funktionsweise beleuchtet, bevor es um die Vor- und Nachteile geht.

Vereinfachte Darstellung eines Application-Level-Gateway

Geschichte des Application-Level-Gateway

Im dritten Teil dieser Reihe wurde bereits ein  Rückblick auf die Geschichte der Firewalls durchgeführt. Der Application-Level-Gateway wurde 1991 von Marcus J. Ranum und Frederick Avolio Anfang der Neunziger Jahre entwickelt, es handelt sich um die klassische Firewall-Technologie schlecht hin.

Arbeitsweise eines Proxy

Der Proxy liest die Pakete aus und untersucht den Inhalt nach Auffälligkeiten. Weicht das Paket von der Norm ab wird es abgelehnt.

Im Gegensatz zum SOCKS-Protokoll arbeitet der Application-Level-Gateway auf der Schicht des Applikationsprotokolls. Der Application-Level-Gateway besteht aus verschiedenen Proxys, jeder dieser Proxys ist für ein Applikationsprotokoll verantwortlich(FTP, TCP/IP ect.). Die meisten Application-Level-Gateways besitzen nur eine beschränkte Anzahl an Proxys, weshalb die Anzahl der verfügbaren Protokolle eingeschränkt sein kann. Um eine Bedrohung zu erkennen, werden die Netzwerkpakete geöffnet und Ziel, Quelle, Dienst und oft Nutzerdaten untersucht.

Vor – und Nachteile des Application-Level-Gateway

Durch die Prüfung der Verbindung, auf die korrekte Verwendung der Applikationsprotokolle ist der Application-Level-Gateway in der Lage einen weitreichenden Schutz eines Systems zu gewährleisten. Hauptgrund dafür ist die Verwendung einer Positivliste. Eine Inspection- oder Deep-Inspection-Firewall wiederrum arbeitet mit einer Negativliste, d.h. nur bekannte Bedrohungen können abgewehrt werden, während bei einer Positivliste alles was von den vorgegebenen Normen abweicht blockiert wird. Vorteil einer Positivliste ist die Reaktionszeit, während bei einer Negativliste mehrere Tage bis Monate vergehen können, bis eine Bedrohung berücksichtigt werden kann, wird sie bei einer Positivliste von Anfang an gefiltert. Beispielsweise ist es auch möglich bei komplizierten und gefährlichen Protokollen(FTP o. http) gefährliche Befehle heraus zu filtert und ihre Verwendung zu unterbinden.

 

Trotz dieses hohen Schutzgrades für das System, gibt es einige Gründe weswegen Application-Level-Gateways eine untergeordnete Rolle im alltäglichen Schutz von Systemen eine untergeordnete Rolle spielt. Ein Hauptproblem ist die Einrichtung selbst, je komplizierter das Protokoll, desto wahrscheinlicher passieren Fehler bei der Installation, wodurch der Proxy selbst zu einem Sicherheitsproblem wird. Selbst wenn es zu keinen Fehlern bei der Installation kommt, bleibt sie weiterhin aufwendig und dadurch teuer. Ein weiteres Problem ist die Geschwindigkeit der Datenübertragung, ein Proxy prüft jedes Paket auf Auffälligkeiten, wodurch es zu einer Drosselung der Übertragungsgeschwindigkeit kommt.

Quelle:

- Ralf Spenneberg – Linux-Firewalls, Sicherheit für Linux-Server und –Netzwerke mit IPv4 und IPv6 2 Auflage

- Bild: @satren