M 2.75 Geeignete Auswahl eines Application-Gateway

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Ein Application-Gateway ist ein Rechner, der die in der Anwendungsschicht vorhandenen Informationen zum Filtern von Verbindungen nutzt.

Dies können z. B. Benutzernamen in Verbindung mit einer starken Authentisierung, spezielle Informationen in den übertragenen Daten (z. B. Kontrolle auf Computer-Viren) oder Informationen der Anwendungsschicht sein. Ein Application-Gateway bietet darüber hinaus die Möglichkeit, einen einheitlichen Zugang zum zu schützenden Teilnetz zu schaffen und die Struktur dieses Netzes zu verdecken. Die auf dem Application-Gateway laufenden Filterprozesse werden als Proxy-Prozesse bezeichnet.

Sollte ein Application-Gateway für eine Firewall benötigt werden, so sind bei der Beschaffung folgende Forderungen zu stellen:

• Es müssen alle wesentlichen Protokolle (wie Telnet, FTP, SMTP, DNS, NNTP, HTTP) der Anwendungsschicht behandelt werden.
• Für jedes unterstützte Protokoll muß eine Filterung nach allen in Maßnahme M 2.76Auswahl und Implementation geeigneter Filterregeln spezifizierten Informationen möglich sein. Insbesondere müssen die Filterregeln benutzerabhängig formulierbar sein, und es muß möglich sein, mehrere Benutzer zu einer Gruppe zusammenzufassen.
• Eine Filterung nach Inhalten sollte unterstützt werden, damit eine zentrale Virenprüfung und das Blockieren von aktiven Inhalten möglich ist (siehe G 5.23 Computer-Viren).
• Bei dem Einsatz eines Application-Gateways sollte keine Änderung der Software im zu schützenden Netz oder im externen Netz nötig sein.
• Die Eingabe und Kontrolle der Filterregeln muß einfach und übersichtlich sein.
• Die eingesetzten Programme müssen gut dokumentiert sein.
• Es muß leicht möglich sein, neue Protokolle hinzuzufügen.
• Für jede aufgebaute und abgewiesene Verbindung muß eine Protokollierung von Benutzer-Identifikation, IP-Nummer, Dienst, Zeit und Datum durchgeführt werden können, wobei auch Einschränkungen auf bestimmte Verbindungen (z. B. für einen speziellen Benutzer) möglich sein sollten.
• Die Protokollinformationen müssen an einen externen Host geschickt werden können.
• Spezielle, einstellbare Ereignisse müssen zu einer unverzüglichen Warnung führen (z.B. mehrfache fehlerhafte Authentisierungsversuche).
• Zur Benutzer-Identifikation müssen starke Authentisierungsmethoden verwendet werden.
• Vom Application Gateway müssen virtuelle private Netze unterstützt werden.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .