Nachdem nun sowohl der Aufbau von SOAP und Firewalls, die Problembereiche
und Gefahren gezeigt wurden und auch schon mehrfach das Konzept einer
Application Level Firewall erwähnt wurde, soll nun gezeigt werden
wie dieser Web-Services-Proxy bestehende Firewalls ergänzen könnte
und wie sich der Funktionsumfang unterscheidet. Dabei sollte besonders
auf eine Hersteller unabhängige Implementierung geachtet werden,
denkbar wäre dies z.B. mittels des Hersteller-neutralen EASI-Frameworks
[Loshin et al.]. An
dieser Stelle soll auch noch einmal dezidiert darauf hingewiesen werden,
dass es sich dabei um keine Konkurrenz zu bestehenden Infrastrukturen,
sondern um eine sinnvolle und notwendige Ergänzung handelt. Dazu
werden noch einmal beide Konzepte gegenübergestellt und zusammengefasst.
[Fröschle 2003][Quadrasis
2002]
| |
| Überwachte Objekte |
• IP-Adressen
• Ports
• Protokolle
• Pakete
|
• Applikationen(WS)
• APIs (Methoden)
• Benutzer
• SOAP Nachrichten
• URLs
|
| Typische Funktionalität |
Regelbasierte Entscheidung darüber ob ein Paket
an einen bestimmten Port einer bestimmten IP-Adresse weitergeleitet
werden soll. |
Regelbasierte Entscheidung darüber ob eine XML
Nachricht eine spezifische Operation bei einem bestimmten WS benutzen
darf. |
| Zugriffsmodel |
Zugriff wird über IP-Adressen, Ports und über
die logische Platzierung (Internet, Firmennetz, DMZ) spezifiziert. |
Zugriff wird über Rollen und Identität des
Anfordernden und über die rollenbasierten Zugriffschemata von
Web Services spezifiziert. |
| Authentifizierung |
Eine korrekte Authentifizierung erlaubt Zugriff aufs
geheiligte innere Netzwerk. |
Eine korrekte Authentifizierung erlaubt Zugriff auf
spezifische Methoden und Daten. |
| Integration mit anderer Netzwerkinfrastruktur |
Gut integriert mit VPNs, Proxies, IDS und anderen Netzwerksicherheitskonzepten. |
Netzwerk-Struktur ist weitgehend unsichtbar, da der
Proxy auf einem höheren OSI Level operiert und die darunter liegende
Netzwerkstruktur über mehrere Protokolle(HTTP, SMTP, ..) anspricht. |
| Integration mit der Applikationsinfrastruktur |
Applikationsinfrastruktur ist weitestgehend unsichtbar. |
Sehr gut mit Authentifizierungsmechanismen wie PKIs,Single-sign
on, LDAP usw. integriert . Soll Metadaten über die angesprochenen
Applikationen verfolgen und aufzeichnen. |
| Verschlüsselung |
Verschlüsselung des gesamten Protokolls. |
Verschlüsselung des gesamten Protokolls, oder
nur bestimmter Nachrichten bzw Nachrichtenteile. |
| Administration |
Wird von Netzwerkadministratoren erledigt. |
Muss auf mehrere Eben delegiert werden da spezielles
Wissen notwendig ist, wie z.B. NW-Admin, Security-Admin, IT-Management,
benutzende Anwender bzw. Entwickler. |
| Regelwerk |
Einfache Regel welche meist durch eine Person definiert
werden und auf IP-Adressen, Ports und Paketen basieren. |
Komplexere Regeln, welche für Rollen, Operationen
und Services von mehreren Personen definiert werden. |
| Angriffserkennung |
Wird über das Wissen über die Struktur und
die Eigenschaften von IP-Netzwerken geprüft. |
Muss über das interne Wissen über angebotene
Services, deren Benutzer und Nachrichteninhalt geprüft werden. |
| Transformationen |
Transformiert Paket-Header und leitet weiter (NAT) |
Transformiert XML-Nachrichten Header, parset und wrappt
Inhalt und validiert gegen Schemata. |