Application Proxy Erklärung

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Gateways auf Anwendungsebene

  • Ein Application-Level-Gateway (ALG) arbeitet auf der Anwendungsschicht (OSI-Schicht 7).
  • Im Gegensatz zu einem Circuit-Level-Gateway ist ein Application-Level-Gateway auf ein bestimmtes Anwendungsprotokoll spezialisiert (z. B. HTTP, FTP, SMTP oder DNS).
  • Es versteht den Aufbau und die Semantik des jeweiligen Protokolls und kann dadurch gezielt Inhalte analysieren, filtern oder umschreiben.
  • Diese tiefe Protokollkenntnis ermöglicht eine sehr feingranulare Kontrolle, erfordert jedoch mehr Rechenleistung und Anpassung auf Client- oder Serverseite.

Funktionsweise

  • Ein Application-Level-Gateway vermittelt Anwendungsdaten zwischen Client und Server.
  • Der Client kommuniziert direkt mit dem Gateway, nicht mit dem Zielserver.
  • Das Gateway prüft und verarbeitet die Daten auf Anwendungsebene und stellt im Anschluss eine zweite Verbindung zum Zielsystem her.
  • So kann das Gateway z. B. schädliche Kommandos filtern, Befehle umschreiben oder die Sitzung überwachen.
  • Da das Protokoll vollständig interpretiert wird, können auch Sicherheitsfunktionen wie Virenscan, URL-Filter oder Inhaltsprüfung integriert werden.

Client-Interaktion

  • Die Nutzung eines Application-Level-Gateways kann eine Anpassung des Benutzerverhaltens oder der Client-Software erfordern.
  • Bei manueller Nutzung stellt der Benutzer zunächst eine Verbindung zum Application-Gateway her und fordert dann den Aufbau einer zweiten Verbindung zum Zielserver an.
  • Dieser Ansatz ist einfach umzusetzen, erfordert jedoch eine kurze Einweisung der Benutzer.
  • Alternativ kann die Client-Software angepasst werden, um die Kommunikation über das Gateway transparent abzuwickeln.
  • Diese Variante bietet Komfort und Automatisierung, ist jedoch aufwendiger, da die Software modifiziert oder speziell konfiguriert werden muss.

Transparente Proxys

  • Eine Alternative sind transparente Proxys.
  • Hier wird die Kommunikation des Clients automatisch von der Firewall oder dem Router an den Application-Proxy weitergeleitet.
  • Der Benutzer merkt davon nichts – die Vermittlung erfolgt vollständig im Hintergrund.
  • Dieser Ansatz kombiniert zentrale Kontrolle mit hoher Benutzerfreundlichkeit.

Beispiele

  • HTTP-Proxy (z. B. Squid, Apache mod_proxy)
  • FTP-Proxy (z. B. frox)
  • SMTP-Proxy (z. B. amavisd, postfix-filter)
  • DNS-Proxy oder -Resolver (z. B. dnsmasq, Unbound)
  • Web-Application-Firewalls (z. B. ModSecurity)

Fazit

  • Application-Level-Gateways analysieren und steuern Anwendungsprotokolle auf Schicht 7.
  • Sie bieten hohe Sicherheit und detaillierte Kontrolle, erfordern aber mehr Konfiguration und Rechenleistung.
  • Transparente Proxys können viele ihrer Vorteile mit geringem Aufwand für den Benutzer kombinieren.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Application_Proxy_Erklärung&oldid=65327