Uygulama düzeyinde ağ geçidi - Application-level gateway
Bir uygulama düzeyinde ağ geçidi ( ALG olarak da bilinen, uygulama katmanı ağ geçidi , uygulama ağ geçidi , uygulama vekil veya bir uygulama düzeyinde proxy ) bir güçlendirir bir güvenlik bileşeni duvarı veya NAT bir kullanılan bilgisayar ağı . FTP , BitTorrent , SIP , RTSP , IM uygulamalarında dosya aktarımı gibi belirli uygulama katmanı "kontrol/veri" protokolleri için adres ve bağlantı noktası çevirisini desteklemek için ağ geçidine özelleştirilmiş NAT geçiş filtrelerinin takılmasına izin verir . Bu protokollerin NAT veya güvenlik duvarı üzerinden çalışabilmesi için, uygulamanın gelen paketlere izin veren bir adres/port numarası kombinasyonunu bilmesi veya NAT'ın kontrol trafiğini izlemesi ve bağlantı noktası eşlemelerini ( güvenlik duvarı delikleri ) dinamik olarak açması gerekir. gereğince, gerektiği gibi. Meşru uygulama verileri böylece, sınırlı filtre kriterlerini karşılamadığı için trafiği kısıtlayacak olan güvenlik duvarı veya NAT'ın güvenlik kontrollerinden geçirilebilir.
Fonksiyonlar
Bir ALG aşağıdaki işlevleri sunabilir:
- bir güvenlik duvarı yapılandırması yalnızca sınırlı sayıda bilinen bağlantı noktasına izin verse bile, istemci uygulamalarının sunucu uygulamaları tarafından kullanılan bilinen bağlantı noktalarıyla iletişim kurmak için dinamik geçici TCP/UDP bağlantı noktalarını kullanmasına izin verir. Bir ALG'nin yokluğunda, ya bağlantı noktaları engellenir ya da ağ yöneticisinin güvenlik duvarında çok sayıda bağlantı noktasını açıkça açması gerekir - bu da ağı bu bağlantı noktalarına yönelik saldırılara karşı savunmasız hale getirir.
- bir uygulama yükünde bulunan ağ katmanı adres bilgilerinin, güvenlik duvarı/NAT'ın her iki tarafındaki ana bilgisayarlar tarafından kabul edilen adresler arasında dönüştürülmesi . Bu özellik , bir ALG için 'ağ geçidi' terimini tanıtır .
- uygulamaya özel komutları tanıma ve bunlar üzerinde ayrıntılı güvenlik kontrolleri sunma
- veri alışverişi yapan iki ana bilgisayar arasında birden çok veri akışı/oturumu arasında senkronizasyon. Örneğin, bir FTP uygulaması, kontrol komutlarını iletmek ve istemci ile uzak sunucu arasında veri alışverişi yapmak için ayrı bağlantılar kullanabilir. Büyük dosya aktarımları sırasında kontrol bağlantısı boşta kalabilir. Bir ALG, uzun dosya aktarımı tamamlanmadan kontrol bağlantısının ağ cihazları tarafından zaman aşımına uğramasını önleyebilir.
Belirli bir ağ üzerinden ALG'ler tarafından işlenen tüm paketlerin derin paket denetimi bu işlevi mümkün kılar. Bir ALG, desteklediği belirli uygulamalar tarafından kullanılan protokolü anlar.
Örneğin, Oturum Başlatma Protokolü (SIP) Arka arkaya Kullanıcı aracısı ( B2BUA ) için bir ALG, SIP ile güvenlik duvarı geçişine izin verebilir. Güvenlik duvarının SIP trafiği bir ALG'de sonlandırılırsa, SIP oturumlarına izin verme sorumluluğu güvenlik duvarı yerine ALG'ye geçer. Bir ALG, başka bir büyük SIP baş ağrısını çözebilir: NAT geçişi . Temel olarak, yerleşik bir ALG'ye sahip bir NAT, SIP mesajları içindeki bilgileri yeniden yazabilir ve oturum sona erene kadar adres bağlamalarını tutabilir. Bir SIP ALG da idare edecek SDP (her yerde görülen kullanılan SIP mesajlarının vücutta VoIP SDP da tercüme edilmelidir IP adreslerinin tam ve portları içerdiğinden, medya uç noktaları kurmak).
Bazı ekipmanlarda SIP ALG'nin aynı sorunu çözmeye çalışan diğer teknolojilere müdahale etmesi yaygındır ve çeşitli sağlayıcılar bunu kapatmayı önerir.
Bir ALG, bir proxy sunucusuna çok benzer , çünkü istemci ile gerçek sunucu arasında yer alır ve değişimi kolaylaştırır. Bir ALG'nin, uygulamayı kullanmak üzere yapılandırılmadan, mesajları yakalayarak işini yaptığına dair bir endüstri kuralı var gibi görünüyor. Öte yandan, bir proxy'nin genellikle istemci uygulamasında yapılandırılması gerekir. İstemci daha sonra proxy'den açıkça haberdar olur ve gerçek sunucu yerine ona bağlanır.
Microsoft Windows
Uygulama katmanı ağ geçidi hizmeti içinde Microsoft Windows ağ protokolleri geçmesine izin, üçüncü taraf eklentileri için destek sağlar , Windows Güvenlik Duvarı ve onunla ve arkasında çalışma Internet Bağlantı Paylaşımı . ALG eklentileri, portları açabilir ve portlar ve IP adresleri gibi paketlere gömülü verileri değiştirebilir . Windows Server 2003 ayrıca bir ALG FTP eklentisi içerir. ALG FTP eklentisi, Windows'ta NAT motoru aracılığıyla aktif FTP oturumlarını desteklemek için tasarlanmıştır . Bunu yapmak için, ALG FTP eklentisi, NAT üzerinden geçen ve bağlantı noktası 21'e (FTP kontrol bağlantı noktası) yönelik olan tüm trafiği Microsoft geri döngü bağdaştırıcısındaki 3000–5000 aralığında özel bir dinleme bağlantı noktasına yönlendirir . ALG FTP eklentisi daha sonra FTP kontrol kanalındaki trafiği izler/günceller, böylece FTP eklentisi, FTP veri kanalları için NAT üzerinden bağlantı noktası eşlemeleri yapabilir.
Linux
Linux'ta NAT uygulayan Linux çekirdeğinin Netfilter çerçevesi, birkaç NAT ALG'si için özelliklere ve modüllere sahiptir: