M 2.75 Geeignete Auswahl eines Application-Level-Gateways

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Die Funktionen eines Sicherheitsgateways auf Anwendungsebene werden von den so genannten Application-Level-Gateways (ALG) übernommen. Implizit nehmen ALGs auch Funktionen auf den Schichten 1-3 wahr. ALGs werden oft auch Sicherheitsproxies genannt, im Folgenden wird aber abkürzend der Begriff "Proxy" verwendet. Proxies unterbrechen den direkten Datenstrom zwischen Quelle und Ziel. Bei einer Kommunikation zwischen Client und Server über einen Proxy hinweg nimmt der Proxy die Anfragen des Clients entgegen und leitet sie an den Server weiter. Bei einem Verbindungsaufbau in umgekehrter Richtung, also vom Server zum Client, verfährt der Proxy analog. Sämtliche Kommunikationsbeziehungen zwischen den beiden Rechnern verlaufen in diesem Fall also mittelbar über den Proxy.

Einige Vor- und Nachteile von Sicherheitsproxies werden in der folgenden Tabelle zusammengestellt:

Vorteile von Proxies

In Abhängigkeit vom Dienst können weitergehende Informationen protokolliert werden (z. B. URL bei HTTP).

Nachteile von Proxies

Eventuell Einschränkung der Funktionalität der Clientprogramme (z. B. durch Filterung aktiver Inhalte

Proxies können in zwei verschiedenen Betriebarten arbeiten, dem sogenannten transparenten und dem nicht-transparentem Modus. Ein transparenter Proxy braucht den Clients nicht mitgeteilt zu werden. Er liest alle im Netz befindlichen IP-Pakete mit und entscheidet anhand von IP-Adresse und Portnummer, welche davon in ein anderes Netz weitergeleitet werden sollen. Bei Verwendung eines nicht-transparenten Proxies hingegen muss dessen IP-Adresse und Portnummer in der Client-Software (z. B. dem Webbrowser) eingetragen werden, um eine Verbindung über den Proxy hinweg zu ermöglichen.

Vor der Beschaffung sollte überprüft werden, welche der folgenden Anforderungen das ALG erfüllt. Je nach Anwendungszusammenhang kann dabei auf einige Anforderungen verzichtet werden.

Die aufgelisteten Anforderungen müssen im Anwendungszusammenhang bewertet werden. Wenn ein bestimmtes Protokoll nicht genutzt wird, braucht das ALG keine Unterstützung für das Protokoll zu bieten. Unterstützt das ALG Protokolle, die nicht genutzt werden, so sollte die Möglichkeit bestehen, das betreffende Protokoll zu deaktivieren.

Wurde für einige der im folgenden aufgeführten Protokolle in der Policy des Sicherheitsgateway festgelegt, dass sie nicht erlaubt sein sollen, so brauchen Sie natürlich auch nicht unterstützt zu werden.

Die die Kriterien der Bewertung und die getroffenen Entscheidungen müssen nachvollziehbar dokumentiert werden.

Allgemein

Im Folgenden werden spezifischere Anforderungen für einige häufig genutzte Protokolle zusammengestellt:

HTTP:

HTTPS:

SMTP:

FTP (passiv und aktiv):

NNTP:

Telnet:

POP:

UDP- und TCP-Relays:

IP-Relay:

DNS:

Klartextprotokolle wie Telnet und FTP sollten nach Möglichkeit nicht mehr in öffentlichen Netzen benutzt werden und durch sicherere Alternativen (SSH / SCP) ersetzt werden. Auch im internen Netz sollten sie nur dann noch verwendet werden, wenn aus zwingenden Gründen ein Umstieg auf SSH oder ein anderes sicheres Protokoll nicht möglich ist.

Auch POP sollte nach Möglichkeit allenfalls noch intern verwendet werden. Sollen von einem externen Mailserver (etwa bei einem Provider) E-Mails abgerufen werden, so sollte der Variante "POP über SSL" der Vorzug gegeben werden. In diesem Fall ist allerdings ein SSL-Proxy (analog zum HTTPS-Proxy) nötig, der die verschlüsselte Verbindung am Sicherheitsgateway unterbricht und es so ermöglicht, E-Mails zentral auf Viren und andere schädliche Inhalte zu prüfen.

Ergänzende Kontrollfragen: