skip to Main Content

Uygulama düzeyinde ağ geçidi (ALG, uygulama katmanı ağ geçidi, uygulama ağ geçidi, uygulama proxy’si veya uygulama düzeyinde proxy olarak da bilinir), bir bilgisayar ağında kullanılan bir güvenlik duvarını veya NAT’ı artıran bir güvenlik bileşenidir.

FTP, BitTorrent, SIP, RTSP, IM uygulamalarında dosya aktarımı gibi belirli uygulama katmanı “kontrol/veri” protokolleri için adres ve bağlantı noktası çevirisini desteklemek için ağ geçidine özelleştirilmiş NAT geçiş filtrelerinin takılmasına izin verir.

Bu protokollerin NAT veya güvenlik duvarı üzerinden çalışabilmesi için, uygulamanın gelen paketlere izin veren bir adres/port numarası kombinasyonunu bilmesi veya NAT‘ın kontrol trafiğini izlemesi ve port eşleştirmelerini (güvenlik duvarı iğne delikleri) dinamik olarak açması gerekir. gereklidir.

Meşru uygulama verileri böylece, aksi takdirde trafiği sınırlı filtre kriterlerini karşılamadığı için kısıtlayacak olan güvenlik duvarı veya NAT’ın güvenlik kontrollerinden geçirilebilir.

Fonksiyonları

Bir ALG aşağıdaki işlevleri sunabilir:

  • bir güvenlik duvarı yapılandırması yalnızca sınırlı sayıda bilinen bağlantı noktasına izin verse bile, istemci uygulamalarının sunucu uygulamaları tarafından kullanılan bilinen bağlantı noktalarıyla iletişim kurmak için dinamik geçici TCP/UDP bağlantı noktalarını kullanmasına izin verir. Bir ALG’nin yokluğunda, ya bağlantı noktaları engellenir ya da ağ yöneticisinin güvenlik duvarında açıkça çok sayıda bağlantı noktası açması gerekir – bu da ağı bu bağlantı noktalarına yönelik saldırılara karşı savunmasız hale getirir.
  • bir uygulama yükünde bulunan ağ katmanı adres bilgilerinin, güvenlik duvarının/NAT’ın her iki tarafındaki ana bilgisayarlar tarafından kabul edilen adresler arasında dönüştürülmesi. Bu özellik, bir ALG için ‘ağ geçidi’ terimini tanıtır.
  • uygulamaya özel komutları tanıma ve bunlar üzerinde ayrıntılı güvenlik kontrolleri sunma
  • veri alışverişi yapan iki ana bilgisayar arasında birden çok veri akışı/oturumu arasında senkronizasyon. Örneğin, bir FTP uygulaması, kontrol komutlarını iletmek ve istemci ile uzak sunucu arasında veri alışverişi yapmak için ayrı bağlantılar kullanabilir. Büyük dosya aktarımları sırasında kontrol bağlantısı boşta kalabilir. Bir ALG, uzun dosya aktarımı tamamlanmadan önce kontrol bağlantısının ağ cihazları tarafından zaman aşımına uğramasını önleyebilir.
  • Belirli bir ağ üzerinden ALG’ler tarafından işlenen tüm paketlerin derin paket denetimi bu işlevi mümkün kılar. Bir ALG, desteklediği belirli uygulamalar tarafından kullanılan protokolü anlar.

Örneğin, Oturum Başlatma Protokolü (SIP) Arka Arkaya Kullanıcı Aracısı (B2BUA) için bir ALG, SIP ile güvenlik duvarı geçişine izin verebilir. Güvenlik duvarının SIP trafiği bir ALG’de sonlandırılırsa, SIP oturumlarına izin verme sorumluluğu güvenlik duvarı yerine ALG’ye geçer. Bir ALG, başka bir büyük SIP baş ağrısını çözebilir: NAT geçişi. Temel olarak, yerleşik bir ALG’ye sahip bir NAT, SIP mesajları içindeki bilgileri yeniden yazabilir ve oturum sona erene kadar adres bağlamalarını tutabilir. Bir SIP ALG, SDP mesajlarının gövdesindeki SDP’yi de işleyecektir (bu, medya uç noktalarını ayarlamak için VoIP’de her yerde kullanılır), çünkü SDP ayrıca çevrilmesi gereken değişmez IP adresleri ve bağlantı noktaları içerir.

Bazı ekipmanlarda SIP ALG’nin aynı sorunu çözmeye çalışan diğer teknolojilere müdahale etmesi yaygındır ve çeşitli sağlayıcılar bunu kapatmayı önerir.

Bir ALG, bir proxy sunucusuna çok benzer, çünkü istemci ile gerçek sunucu arasında yer alır ve değişimi kolaylaştırır. Bir ALG’nin, uygulamayı kullanmak üzere yapılandırılmadan, mesajları yakalayarak işini yaptığına dair bir endüstri kuralı var gibi görünüyor. Öte yandan, bir proxy’nin genellikle istemci uygulamasında yapılandırılması gerekir. İstemci daha sonra proxy’den açıkça haberdar olur ve gerçek sunucu yerine ona bağlanır.

Microsoft Windows

Microsoft Windows’daki Uygulama Katmanı Ağ Geçidi hizmeti, ağ protokollerinin Windows Güvenlik Duvarı’ndan geçmesine ve arkasında çalışmasına ve İnternet Bağlantı Paylaşımına izin veren üçüncü taraf eklentileri için destek sağlar. ALG eklentileri, bağlantı noktalarını açabilir ve gömülü verileri değiştirebilir portlar ve IP adresleri gibi paketler.

Windows Server 2003 ayrıca bir ALG FTP eklentisi içerir. ALG FTP eklentisi, Windows’ta NAT motoru aracılığıyla aktif FTP oturumlarını desteklemek için tasarlanmıştır. Bunu yapmak için, ALG FTP eklentisi, NAT üzerinden geçen ve bağlantı noktası 21’e (FTP kontrol bağlantı noktası) yönelik olan tüm trafiği Microsoft geri döngü bağdaştırıcısındaki 3000–5000 aralığındaki özel bir dinleme bağlantı noktasına yönlendirir.

ALG FTP eklentisi daha sonra FTP kontrol kanalındaki trafiği izler/günceller, böylece FTP eklentisi FTP veri kanalları için NAT üzerinden bağlantı noktası eşlemelerini çekebilir.

ALG Ne Yapar?

Uygulama proxy ağ geçidi olarak da bilinen uygulama katmanı ağ geçidi, OSI modelinde yaygın olarak katman 7 olarak bilinen bir altyapının uygulama katmanında çeşitli işlevleri gerçekleştirebilir. Bu işlevler, adres ve bağlantı noktası çevirisini, kaynak tahsisini, uygulama yanıt kontrolünü ve veri ve kontrol trafiğinin senkronizasyonunu içerebilir. Bir uygulama katmanı ağ geçidi, uygulama sunucuları için bir proxy görevi görerek ve SIP ve FTP gibi uygulama protokollerini yöneterek uygulama oturumu başlatmayı kontrol edebilir ve uygulama katmanı güvenliği sağlamak için uygun olduğunda bağlantıları önleyerek veya sonlandırarak uygulama sunucularını koruyabilir.

Uygulama Katmanı Ağ Geçitleri Neden Önemlidir?

Uygulamalar, iş operasyonları ve günlük yaşam için hayati öneme sahiptir, ancak saldırılar giderek bu uygulamaları ve BT altyapılarının uygulama katmanını hedef almaktadır. İş sürekliliğini sağlamak ve hassas verileri ve kişisel olarak tanımlanabilir bilgileri (PII) korumak için güvenlik önlemleri özellikle uygulama katmanını ele almalıdır. Uygulama katmanı ağ geçitleri, güvenli uygulama teslimini sağlamak için uygulamaları ve içerdikleri verileri savunmak için bir seçenektir.

Uygulama Katmanı Ağ Geçidi Nasıl Çalışır?

Bir uygulama katmanı ağ geçidi, uygulama sunucuları için bir proxy görevi görerek ve SIP ve FTP gibi uygulama protokollerini yöneterek, bir uygulama oturumu başlatmadan veya trafiğin uygulamaya geçmesine izin vermeden önce saldırıları tespit etmek ve engellemek için tipik olarak derin paket incelemesini kullanır. Bir uygulama katmanı ağ geçidinin yetenekleri, genellikle bir uygulama güvenlik duvarı veya web uygulaması güvenlik duvarınınkileri aşar.

Kaynak:
https://www.f5.com/services/resources/glossary/application-layer-gateway