Application Layer Gateway

Ein Application Layer Gateway oder Application-Level Gateway (kurz ALG) ist ein Gateway in einem Computernetz, das den Datenverkehr auf Anwendungsebene untersucht. Ein ALG schützt das Netz vor unberechtigten Zugriffen und wird in dieser Funktion auch als Application Layer Firewall oder Application-Level Firewall bezeichnet (kurz ALF). Ein weiterer Zweck ist die Ermöglichung einer Konnektivität beim Einsatz von Netzwerkadressübersetzung.

Funktionsweise

Ein ALG verhält sich ähnlich wie ein Proxy, indem es Daten auf Anwendungsschicht empfängt und an ein Ziel weiterleitet.^[1] Eine vereinfachte Sicht ist, dass ein ALG eine Firewall für Datenverkehr auf OSI-Layer 7 darstellt, während ein Paketfilter IP-Pakete auf Layer 3 und 4 untersucht. Das ALG wertet die Nutzdaten des Anwendungsverkehrs aus und kann dadurch besser steuern, welcher Verkehr weitergeleitet wird und welcher nicht. So kann beispielsweise HTTP-Verkehr erlaubt und anderer Verkehr blockiert werden.^[2] Dies ist auch für andere Protokolle auf der Anwendungsschicht möglich. Ein ALG kann durch die tiefergehende Analyse eine höhere IT-Sicherheit als ein Paketfilter erreichen, erfordert dafür aber mehr Rechenleistung.^[1] Ein wesentlicher Unterschied zwischen einem ALG und einer Paketfilter-Firewall besteht auch darin, dass das ALG die jeweilige Netzverbindung auf der einen Seite des Gateways terminiert und auf der anderen Seite mit einem getrennten IP-Stack neu aufbaut. Ein ALG ist üblicherweise Bestandteil einer Firewall bzw. einem Sicherheitsgateway.

Daneben kann ein ALG auch für NAT Traversal eingesetzt werden, um in einem zustandsorientierten Paketfilter dynamisch die von einer Anwendung benötigten Ports zu öffnen. Das ist beispielsweise erforderlich beim File Transfer Protocol oder Session Initiation Protocol, da diese Protokolle eingehende Verbindungen auf dynamisch gewählten Portnummern erfordern. Durch Auswertung der Signalisierung im Anwendungsverkehr kann das ALG zielgerichtet die benötigten Ports freigeben. Die manuelle Einrichtung von Portweiterleitungen entfällt.

Bis in die späten 2000er-Jahre wurden in Unternehmen häufig mehrstufige Firewalls aus Paketfilter und einem nachgelagerten ALG konzipiert. Durch die Weiterentwicklung der Paketfilter-Firewalls mit Stateful Packet Inspection tritt dies zunehmend in den Hintergrund, da mit SPI anwendungsspezifische Trafficfilterung möglich ist, ohne eine jeweils für das Anwendungsprotokoll spezifische Gateway-Implementierung zu benötigen.

Web Application Firewall

Eine Web Application Firewall (WAF) ist ein Spezialfall eines Application Layer Gateways bzw. einer Application Layer Firewall, die als Reverse Proxy vor einen Webserver geschaltet wird. Die WAF untersucht den HTTP-Verkehr nach schädlichen Anfragen und blockiert diese, um die Webanwendung zu schützen.

DNS ALG

Eine weitere Aufgabe des ALGs besteht darin, in einem internen Netzwerk, welches mit NAT arbeitet, darauf zu achten, dass bei Name-Lookups auch eine erreichbare IP-Adresse übermittelt wird. Diese Funktion trägt den Namen DNS ALG. Ist beispielsweise ein internes Netzwerk mit einem DNS-Server über einen Router mit dem Internet verbunden und es kommt eine externe Anfrage für einen Host aus dem internen Netzwerk, so würde der DNS-Server des internen Netzwerkes auch eine interne IP-Adresse angeben. Für den die Adresse anfragenden Client ist der Host über diese Adresse jedoch nicht erreichbar, da sie unter Umständen in einem privaten IP-Adressbereich liegt, welche im Internet nicht geroutet werden. Sendet nun der DNS-Server ein Datenpaket mit der internen IP-Adresse an den anfragenden Client, so ändert das DNS ALG auf dem Router das Datensegment so ab, dass eine aus dem Internet erreichbare Adresse aus dem Adressbereich, welchen auch das NAT verwendet, für den angefragten Host eingetragen ist. Des Weiteren initialisiert das DNS ALG, dass der entsprechende Host für eine bestimmte Zeit auch über die ihm zugewiesene externe Adresse geroutet wird, sowie den dazugehörigen Timer.^[3]

Literatur

Ulrich Trick, Frank Weber: SIP und Telekommunikationsnetze. 5. Auflage. Walter De Gruyter, Berlin 2015, ISBN 978-3-486-77853-3.

Einzelnachweise

↑ ^a ^b William Stallings: Cryptography and Network Security: Principles and Practice. Global Edition. 8. Auflage. Pearson Education, Harlow, Vereinigtes Königreich 2023, ISBN 1-292-43748-0, S. 677 f.
↑ Andrew Tanenbaum, David Wetherall, Nick Feamster: Computer Networks. Global Edition. 6. Auflage. Pearson Education, Harlow, Vereinigtes Königreich 2021, ISBN 1-292-37406-3, S. 761.
↑ RFC: 2663 – IP Network Address Translator (NAT) Terminology and Considerations. August 1999 (offizielle Definition, englisch).

[stallings-1] William Stallings: Cryptography and Network Security: Principles and Practice. Global Edition. 8. Auflage. Pearson Education, Harlow, Vereinigtes Königreich 2023, ISBN 1-292-43748-0, S. 677 f.

[tanenbaum-2] Andrew Tanenbaum, David Wetherall, Nick Feamster: Computer Networks. Global Edition. 6. Auflage. Pearson Education, Harlow, Vereinigtes Königreich 2021, ISBN 1-292-37406-3, S. 761.

[RFC-3] RFC: 2663 – IP Network Address Translator (NAT) Terminology and Considerations. August 1999 (offizielle Definition, englisch).

[1]

[2]

[3]