Proxy-Firewalls und Applikationsfilter

Firewalls und Proxies (3)

Proxies bzw. Proxy-Firewalls

Proxy-Firewalls, auch Verbindungs-Gateway oder Circuit-Level-Gateway genannt, sind auf der Transportschicht (Schicht 4) des OSI-Referenzmodells angesiedelt.
Das grundlegende Prinzip einer Proxy-Firewall ist das sog. Stellvertreterkonzept. Es besagt, dass statt direkt auf ein externes Netz, zunächst auf einen Gateway-Rechner zugegriffen wird. Dieser Gateway-Rechner stellt selbst einige Dienste zur Verfügung, sodass ein Teil der Anfragen aus dem internen Netz nicht nach außen gelangt. Andere Verbindungsanfragen werden auf ihre Vereinbarkeit mit der Sicherheitsstrategie geprüftund dann weitergeleitet oder zurückgewiesen.
Proxy-Firewalls werden auf sog. Bastionsrechnern (letzte Bastion vor dem äußeren Netz) betrieben und bieten umfassendere Möglichkeiten zur Filterung des Datenstroms, als es beispielsweise Paketfilter tun.

Vor- und Nachteile von Proxy-Firewalls

Durch Proxy-Firewalls wird keine direkte TCP-Verbindung zwischen Client und (außenstehendem) Server hergestellt. Es kommt zu einer Adressumsetzung, durch die die Adresse des Clients im internen Netz dem Server im außenstehenden Netz verborgen bleibt. Bei einem Versuch eines Verbindungsaufbaus stellt der Client die Anfrage an die Proxy-Firewall. Ist die Verbindungsanfrage legitim, baut die Proxy-Firewall eine Verbindung zum (außenstehenden) Server auf und leitet die Datenpakete zum Client weiter (und umgekehrt). Durch diese Vermittlung und direkte Einbindung in den Paketfluss ist, neben der Integration von Authentifikations- und Protokolliermechanismen, die Kontrolle bestehender Verbindungen möglich. Diese Möglichkeiten sind bei Paketfiltern nicht gegeben, da dort eine direkte TCP-Verbindung zwischen Client und Server etabliert wird.

Generische Proxies aus Proxy-Firewalls sind universell einsetzbar, dafür aber wenig speziell. Aufgrund des Ansetzens von Proxy-Firewalls auf der Transportschicht ist zudem keine spezifische Unterscheidung zwischen Anwendungen möglich. Trotzdem sind oftmals Anpassungen an der Clientsoftware nötig, die dafür sorgen, dass alle Verbindungsversuche über den Proxy-Server geleitet werden.

Applikationsfilter

Applikationsfilter, auch Application-Level-Gateway genannt, setzen auf der Anwendungsschicht (Schicht 7) des OSI-Referenzmodells an. Ein Applikationsfilter besteht aus mehreren dedizierten und jeweils für einen Dienst spezialisierten, statt generischen (wie bei Proxy-Firewalls), Proxies. Beispielsweise kann es, je nach Anwendungsbereich, einen Proxy für den SSH-Dienst, einen für FTP, HTTP usw. geben.
In einem Applikationsfilter findet dementsprechend eine anwendungsbezogene Filterung statt, die dem “Alles oder Nichts” – Prinzip (Blocken oder Durchlassen) der Paketfilter und Proxy-Firewalls entgegen steht.

Vor- und Nachteile von Applikationsfiltern

Anwendungs- bzw. Applikationsfilter erlauben durch die verschiedenen und speziellen Proxies differenzierte Authentifikationen und Überprüfungen. Es können Nutzungsprofile erstellt und Angriffe anhand von Mustern erkannt werden. Besonders verfügbare Module zur Integration von Intrusion Detection Systemen (IDS) sind hier hervor zu heben. Durch ausgeprägte Protokollierungsfunktionen werden Anwendungsfilter oft z.B. zur Abrechnung von Diensten genutzt. Zudem lässt sich die Nutzung von Diensten mittels Applikationsfiltern einschränken. So können Dienste nicht nur geblockt oder zugelassen werden, sondern beispielsweise FTP-Verbindungen nur zum Download freigegeben werden, nicht aber zum Upload von Daten.

Zwar bieten Applikationsfilter viele spezifische Möglichkeiten, sind dafür aber auch komplizierter aufgebaut und unflexibel, da pro Dienst immer mindestens ein eigener Proxy benötigt wird. Ist, beispielsweise für eine neuere Applikation, noch kein dedizierter Proxy verfügbar, kann zwar auf einen generischen Proxy zurückgegriffen werden (Achtung: Per default wird i.d.R. zunächst sämtlicher Verkehr geblockt), die Vorteile im Vergleich zu einer Proxy-Firewall gehen dabei jedoch verloren. Zudem sind Anwendungsfilter rechenintensiver und benötigen potentere Hardware. Durch eben diesen Aspekt der Ressourcenallokation werden Anwendungsfilter zusätzlich zu einem potentiellen Angriffsziel für (D)DoS-Angriffe.

Autor: Jan-Dirk Kranz

Rückmeldungen