Schutzwall ohne Löcher
Entkopplung von Netzen durch Application Gateways
Ein Application Gateway zeichnet sich dadurch aus, daß es die Netze sowohl logisch als auch physikalisch entkoppelt. Da in einigen Firewall-Konzepten das Application Gateway das einzige Rechnersystem ist, das vom unsicheren Netz, etwa dem Internet, aus zu erreichen ist, ist es besonders gut zu abzusichern. Deshalb wird der Rechner, auf dem das Gateway installiert ist, auch als "Bastion" bezeichnet.
Als "Dual-homed Gateway" arbeitet das Anwendungs-Gateway mit zwei Netzwerkanschlüssen. "Dual-homed" bedeutet, daß das System die vollständige Kontrolle über die Pakete hat, die zwischen dem unsicheren und dem zu schützenden Netzwerk übertragen werden. Das Gateway läßt sich auch "Single-homed" betreiben, also mit nur einem Netzwerkanschluß. Dann besteht jedoch die Gefahr, daß ein Angreifer das Application Gateway übergeht. Ein Benutzer, der über dieses System kommunizieren möchte, muß sich zuerst identifizieren und authentifizieren. Application Gateways bieten in der Regel unterschiedliche Authentifizierungsverfahren an. Deshalb baut der Benutzer zuerst eine Verbindung mit dem Gateway und nicht mit dem Kommunikationspartner auf. Nach der Identifizierung und Authentifizierung ist das System für den Anwender jedoch transparent, so daß der Benutzer den Eindruck hat, direkt auf dem Zielrechner zu arbeiten.
Über die Netzzugangs- und TCP/IP-Treiber empfängt das Application Gateway die Pakete an den entsprechenden Ports. Soll nur ein Dienst über einen bestimmten Port möglich sein, muß auf dem Gateway eine Software zur Verfügung gestellt werden, die das entsprechende Paket von der einen zur anderen Netzwerkseite des Application Gateway überträgt und umgekehrt. Ein solches Programm, das die Paketübertragung nur für einen speziellen Dienst (FTP, HTTP, Telnet, et cetera) im Application Gateway durchführt, ist ein Proxy.
Der Name Proxy ("Stellvertreter") wird verwendet, weil es aus Sicht des zugreifenden Benutzers so aussieht, als würde er mit dem eigentlichen Serverprozeß des Dienstes auf dem Zielrechner kommunizieren. Jeder Proxy auf dem Application Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten. Bedingt durch den Proxy und das Wissen um den Kontext eines speziellen Dienstes ergeben sich umfangreichere Sicherungs- und Protokollierungsmöglichkeiten im Application Gateway.
Auf dieser Kommunikationsebene ist eine besonders intensive Analyse möglich, da der Kontext der Anwendungsdaten für den jeweiligen Dienst klar definiert ist. Die Proxies konzentrieren sich auf das Wesentliche. Der Vorteil ist, daß kleine überschaubare Module verwendet werden, wodurch die Fehleranfälligkeit durch Implementationsfehler reduziert wird.