Uygulama düzeyinde ağ geçidi - Application-level gateway

Uygulama düzeyinde ağ geçidi^[1] (Ayrıca şöyle bilinir ALG, uygulama katmanı ağ geçidi, uygulama ağ geçidi, uygulama vekiliveya uygulama düzeyinde proxy^[2]) bir güvenlik bileşenidir. güvenlik duvarı veya NAT bir bilgisayar ağı. Özelleştirilmiş sağlar NAT geçişi içine takılacak filtreler ağ geçidi desteklemek adres ve liman çevirisi kesin olarak uygulama katmanı "kontrol / veri" protokolleri, örneğin FTP, BitTorrent, Yudumlamak, RTSP, dosya aktarımı BEN uygulamalar, vb. Bu protokollerin NAT veya bir güvenlik duvarı üzerinden çalışması için, ya uygulamanın gelen paketlere izin veren bir adres / bağlantı noktası numarası kombinasyonunu bilmesi gerekir ya da NAT'ın kontrol trafiğini izlemesi ve bağlantı noktası eşlemelerini açması gerekir (güvenlik duvarı iğne deliği ) gerektiği gibi dinamik olarak. Meşru uygulama verileri bu nedenle, sınırlı filtre kriterlerini karşılamamak için trafiği kısıtlayacak olan güvenlik duvarının veya NAT'ın güvenlik kontrollerinden geçirilebilir.

Fonksiyonlar

Bir ALG aşağıdaki işlevleri sunabilir:

istemci uygulamalarının dinamik kullanmasına izin verme geçici Bir güvenlik duvarı yapılandırması yalnızca sınırlı sayıda bilinen bağlantı noktasına izin verse bile, sunucu uygulamaları tarafından kullanılan bilinen bağlantı noktaları ile iletişim kurmak için TCP / UDP bağlantı noktaları. Bir ALG'nin yokluğunda, ya bağlantı noktaları engellenir ya da ağ yöneticisinin güvenlik duvarında çok sayıda bağlantı noktasını açıkça açması gerekir - bu da ağı bu bağlantı noktalarına yönelik saldırılara karşı savunmasız hale getirir.
dönüştürmek ağ katmanı güvenlik duvarının / NAT'nin her iki tarafındaki ana bilgisayarlar tarafından kabul edilebilir adresler arasında bir uygulama yükünün içinde bulunan adres bilgileri. Bu özellik terimi tanıtır "ağ geçidi" ALG için.
uygulamaya özel komutları tanımak ve bunlar üzerinde ayrıntılı güvenlik kontrolleri sunmak
veri alışverişi yapan iki ana bilgisayar arasında birden çok veri akışı / oturumu arasında senkronizasyon. Örneğin, bir FTP uygulama, kontrol komutlarını iletmek ve istemci ile uzak sunucu arasında veri alışverişi yapmak için ayrı bağlantılar kullanabilir. Büyük dosya aktarımları sırasında, kontrol bağlantısı boşta kalabilir. Bir ALG, uzun dosya aktarımı tamamlanmadan önce ağ cihazları tarafından kontrol bağlantısının zaman aşımına uğramasını önleyebilir.^[3]

Derin paket denetimi ALG'ler tarafından belirli bir ağ üzerinden işlenen tüm paketler bu işlevselliği mümkün kılar. Bir ALG, desteklediği belirli uygulamalar tarafından kullanılan protokolü anlar.

Örneğin, Oturum Başlatma Protokolü (YUDUMLAMAK) Sırt sırta Kullanıcı aracısı (B2BUA ), bir ALG, SIP ile güvenlik duvarı geçişine izin verebilir. Güvenlik duvarının SIP trafiği bir ALG'de sonlandırılmışsa, SIP oturumlarına izin verme sorumluluğu güvenlik duvarı yerine ALG'ye geçer. Bir ALG, başka bir büyük SIP baş ağrısını çözebilir: NAT geçişi. Temel olarak yerleşik bir ALG'ye sahip bir NAT, SIP mesajları içindeki bilgileri yeniden yazabilir ve oturum sona erene kadar adres bağlantılarını tutabilir. Bir SIP ALG ayrıca SDP SIP mesajlarının gövdesinde (her yerde her yerde kullanılır) VoIP medya uç noktalarını ayarlamak için), çünkü SDP ayrıca çevrilmesi gereken değişmez IP adreslerini ve bağlantı noktalarını da içerir.

Bazı ekipmanlarda SIP ALG'nin aynı sorunu çözmeye çalışan diğer teknolojilere müdahale etmesi yaygındır ve çeşitli sağlayıcılar bunu kapatmanızı önerir.^[4]^[5]^[6]

Bir ALG, bir Proxy sunucu, istemci ile gerçek sunucu arasında oturduğu için değişimi kolaylaştırır. Görünen o ki, bir ALG'nin işini, uygulama onu kullanacak şekilde yapılandırılmadan mesajları durdurarak yerine getirdiği görülmektedir. Öte yandan bir proxy'nin genellikle istemci uygulamasında yapılandırılması gerekir. İstemci daha sonra proxy'den açıkça haberdar olur ve gerçek sunucu yerine ona bağlanır.

Microsoft Windows'ta ALG hizmeti

Uygulama Katmanı Ağ Geçidi hizmet içinde Microsoft Windows ağ protokollerinin geçmesine izin veren üçüncü taraf eklentileri için destek sağlar Windows Güvenlik Duvarı ve arkasında çalış ve İnternet bağlantısı paylaşmak. ALG eklentileri bağlantı noktalarını açabilir ve bağlantı noktaları gibi paketlere gömülü verileri değiştirebilir ve IP adresleri. Windows Server 2003 ayrıca bir ALG FTP eklentisi içerir. ALG FTP eklentisi, aktif FTP oturumlarını destekleyecek şekilde tasarlanmıştır. NAT Windows'ta motor. Bunu yapmak için, ALG FTP eklentisi NAT üzerinden geçen ve 21 numaralı bağlantı noktasına (FTP kontrol bağlantı noktası) yönelik tüm trafiği Microsoft üzerindeki 3000–5000 aralığında özel bir dinleme bağlantı noktasına yeniden yönlendirir. geri döngü adaptörü. ALG FTP eklentisi daha sonra FTP kontrol kanalındaki trafiği izler / günceller, böylece FTP eklentisi, FTP veri kanalları için NAT aracılığıyla bağlantı noktası eşlemelerini çekebilir.

Linux'ta ALG'ler

Linux çekirdeği Netfilter Linux'ta NAT uygulayan framework, çeşitli NAT ALG'leri için özelliklere ve modüllere sahiptir:

Ayrıca bakınız

Oturum sınırı denetleyicisi

Referanslar

^ RFC 2663 - ALG: resmi tanım (bkz. Bölüm 2.9)
^ https://www.webopedia.com/TERM/A/application_gateway.html
^ Dosya Aktarım Protokolü (FTP) ve Güvenlik Duvarınız / Ağ Adresi Çevirisi (NAT) Yönlendirici / Yük Dengeleme Yönlendiricisi.
^ https://kb.intermedia.net/article/3110
^ https://docs.skyswitch.com/en/articles/578-what-is-sip-alg-and-should-it-be-on-or-off
^ https://www.voicehost.co.uk/help/sip-alg-and-why-it-should-be-disabled-your-router

Dış bağlantılar

DNS Uygulama Seviyesi Ağ Geçidi (DNS_ALG)

[1] RFC 2663 - ALG: resmi tanım (bkz. Bölüm 2.9)

[2] ttps://www.webopedia.com/TERM/A/application_gateway.html

[3] Dosya Aktarım Protokolü (FTP) ve Güvenlik Duvarınız / Ağ Adresi Çevirisi (NAT) Yönlendirici / Yük Dengeleme Yönlendiricisi.

[4] ttps://kb.intermedia.net/article/3110

[5] ttps://docs.skyswitch.com/en/articles/578-what-is-sip-alg-and-should-it-be-on-or-off

[6] ttps://www.voicehost.co.uk/help/sip-alg-and-why-it-should-be-disabled-your-router

[1]

[2]

[3]

[4]

[5]

[6]