Application Layer Gateway

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Application Layer Gateway (auch bekannt unter den Namen ALG oder Application-Level Gateway) stellt eine Sicherheitskomponente in einem Computernetzwerk dar. Bei der Übertragung von Daten in einem Netzwerk verwenden einige Protokolle wie beispielsweise TFTP oder RTP einen zufällig gewählten Port, was zur Folge hat, dass auf einem Server eine große Anzahl an Ports geöffnet sein muss. Durch diese Tatsache werden Angriffe auf das System einfacher. Um diese Lücke zu schließen, ermöglicht das ALG eine dynamische Portfreigabe, was bedeutet, dass nur die Ports geöffnet werden, die auch für aktuelle Sessions benötigt werden.

Ein Application Layer Gateway stellt in seiner Funktionsweise eine Stateful Inspection Firewall dar, was nicht mit einer Application-Level-Firewall zu verwechseln ist!

Eine weitere Aufgabe des ALGs besteht darin, in einem internen Netzwerk, welches mit NAT arbeitet, darauf zu achten, dass bei Name-Lookups auch eine erreichbare IP-Adresse übermittelt wird. Diese Funktion trägt den Namen DNS ALG. Ist beispielsweise ein internes Netzwerk mit einem DNS Server über einen Router mit dem Internet verbunden und es kommt eine externe Anfrage für einen Host aus dem internen Netzwerk, so würde der DNS Server des internen Netzwerkes auch eine interne IP-Adresse angeben. Für den die Adresse anfragenden Client ist der Host über diese Adresse jedoch nicht erreichbar, da sie unter Umständen in einem privaten IP-Adressbereich liegt, welche im Internet nicht geroutet werden. Sendet nun der DNS Server ein Datenpaket mit der internen IP-Adresse an den anfragenden Client, so ändert das DNS ALG auf dem Router das Datensegment so ab, dass eine aus dem Internet erreichbare Adresse aus dem Adressbereich, welchen auch das NAT verwendet, für den angefragten Host eingetragen ist. Des Weiteren initialisiert das DNS ALG, dass der entsprechende Host für eine bestimmte Zeit auch über die ihm zugewiesene externe Adresse geroutet wird, sowie den dazugehörigen Timer.[1]

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Ulrich Trick, Frank Weber:SIP und Telekommunikationsnetze. 5. Auflage, Walter De Gruyter GmbH, Berlin 2015, ISBN 978-3-486-77853-3.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. rfc2663, ALG: Offizielle Definition.