Suchen

Definition Application Layer Gateway (ALG) Was ist ein Application Layer Gateway?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Ein Application Layer Gateway ist eine Sicherheitskomponente, die die Kommunikation zwischen Clients und Applikationsservern kontrolliert. Das ALG agiert aus Client-Sicht als Zielserver. Es analysiert den Verkehr auf Anwendungsebene, leitet Anfragen an die eigentlichen Server weiter und kann gefährliche Daten blockieren. ALGs sind für verschiedene Anwendungen wie SIP, FTP, E-Mail oder HTTP verfügbar.

Firmen zum Thema

Ein Application Layer Gateway (ALG) dient der Kontrolle der Kommunikation auf Anwendungsebene und bietet zusätzliche Sicherheitskomponente in Netzwerken.
Ein Application Layer Gateway (ALG) dient der Kontrolle der Kommunikation auf Anwendungsebene und bietet zusätzliche Sicherheitskomponente in Netzwerken.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung für Application Layer Gateway lautet ALG. Alternative Begriffe sind Application Level Gateway oder Application Level Proxy. Das ALG ist eine zusätzliche Sicherheitskomponente, die die Kommunikation zwischen Clients aus unsicheren Netzwerken wie dem Internet und Applikationsservern kontrolliert. Realisiert ist das Gateway als eigenständiges Gerät oder als Software in einem vorhandenen Gerät wie beispielsweise in einer Firewall.

Das Gateway tritt gegenüber den Clients als Kommunikationspartner auf und verbirgt die eigentlichen Zieladressen des Servers. Es analysiert den empfangenen Verkehr auf Anwendungsebene bis auf Schicht sieben des ISO/OSI-Schichtenmodells. Der analysierte Verkehr wird anschließend an den Zielserver weitergeleitet oder blockiert. Application Level Gateways sind für viele verschiedene Protokolle und Anwendungen wie SIP (Session Initiation Protocol), FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol) oder E-Mail verfügbar. Die Analyse des Datenverkehrs und die Ressourcenverteilung erfolgt auf Basis der vom Administrator erstellten Vorgaben. Um den Datenverkehr bis auf Anwendungsebene zu analysieren, beherrscht eine Application Gateway Deep Packet Inspection (DPI). Dadurch ist es in der Lage, Verletzungen der Anwendungsprotokolle zu erkennen und beispielsweise Malware oder anderen gefährlichen Verkehr auszufiltern.

Arbeitsweise eines Application Layer Gateways

Wie ein Proxy-Server ist das Application Level Gateway in der Kommunikationsverbindung zwischen Client und Server platziert. Das ALG befindet sich zwischen dem Applikationsserver und einem unsicheren Netzwerk wie dem Internet, aus dem die Clients auf den Server zugreifen möchten. Aus Client-Sicht ist das ALG der Kommunikationspartner. Es ist für den Client nicht erkennbar, dass eine zusätzliche Komponente die Kommunikation kontrolliert. Die tatsächlichen IP-Adressen und Ports des Applikationsservers bleiben den Clients verborgen. Für jede Applikation agiert ein eigenes Applikation Level Gateway. Das ALG analysiert das jeweilige Anwendungsprotokoll bis auf Schicht sieben des ISO/OSI-Referenzmodells. Zulässiger Verkehr wird anschließend zum Applikationsserver weitergeleitet. Sind mehrere Server vorhanden, kann das Gateway die Ressourcenverteilung übernehmen.

Typische Funktionen eines ALG

Typische Funktionen, die eine Application Level Gateway bereitstellt, sind:

  • Analyse des Datenverkehrs zwischen Client und Server auf Anwendungsebene
  • Erkennen von Protokollverletzungen oder gefährlichem Datenverkehr
  • Weiterleiten oder Verwerfen des Datenverkehrs abhängig von definierten Regeln
  • Verbergen des internen Netzwerks und der tatsächlichen Serveradressen
  • Zulassen der Kommunikation über dynamische TCP-/UDP-Ports der Clients
  • Ausfiltern dynamischer Inhalte wie Java-Applets oder ActiveX-Controls aus übertragenen HTML-Seiten
  • Protokollierung des Datenverkehrs
  • Zuweisung der Server-Ressourcen

Typische Anwendungen für ein Application Layer Gateway

Application Layer Gateways existieren für zahlreiche Anwendungen. Sie kontrollieren beispielsweise den Verkehr zwischen SIP-Clients aus dem Internet und einem SIP-Server eines Providers, zwischen FTP-Clients und FTP-Servern oder zwischen Webbrowsern und HTTP-Servern. Weitere Anwendungen, für die eine ALG eingesetzt werden kann, sind beispielsweise IRC (Internet Relay Chat) oder H.323.

(ID:46834924)

Über den Autor