Allgemein

Wozu eine WAF (Web Applikation Firewall)?

Unternehmen aller Größenordnungen stellen ihre Webanwendungen im öffentlichen Netz zur Verfügung. Das Angebot ist sehr vielfältig. Bei Onlineshops können Produkte bestellt werden, es können Bankgeschäfte ausgeführt werden oder Autos konfiguriert und bestellt werden. Berechtigte Partner greifen über die webbasierten Anwendungen auf interne Datenbanken bzw. Anwendungen zu. Allerdings sind die Webapplikationen zu einem beliebten Angriffsfeld von Hackern geworden. Eine Schwachstelle reicht aus, um der Gefahr ausgesetzt zu sein, dass über die Webapplikationen Daten gestohlen oder manipuliert werden können. In den letzten Jahren sind die Angriffe auf Webanwendungen immer raffinierter geworden. Daher sollte jede Webapplikation ankommenden Daten misstrauen, denn diese können Attacken beinhalten, die unberechtigte Zugriffe ermöglichen.

Funktion der WAF

Angriffe wie SQL-Injection, Command Injection, Session Hijacking oder fehlerhafte Programmierungen der Webapplikationen sind oft erfolgreich. Systeme, die aus der Webapplikation erreichbar sind, können von Attacken ebenfalls betroffen sein. Herkömmliche Firewalls bzw. NGFs (Next Generation Firewalls) schützen das Netzwerk – nicht aber die Applikationen. Die Aufgabe einer WAF ist das Erkennen und Blockieren von Angriffen, Schutz vor DDoS-Angriffen auf die Anwendungsschicht, Anomalien zu erkennen und blitzschnell zu bewerten, Erkennen von Betrugs- und Malware. Eine WAF überwacht, filtert und untersucht die Inhalte der Webprotokolle (z.B. http, XML). In einer Whitelist, werden Merkmale angelegt, z.B. Personen, Unternehmen und IP-Adressen, die als vertrauenswürdig angesehen werden. In einer Blacklist werden gefährliche Merkmale eingetragen. Werden diese Merkmale im Datenstrom entdeckt, findet eine Fehlerbehandlung statt. Integrierte Scanner spüren Schwachstellen in den Anwendungen auf und nehmen virtuelle Patches vor, um sie vor einem Angriff zu schützen. Es können eigene Richtlinien erstellt werden, um die Sicherheit zu erhöhen.

Varianten von WAF

Bei den WAF Angeboten haben sich drei verschiedene Varianten herauskristallisiert:

WAF als eigenständiges System, eingebettet in einer Appliance

Die Hardware wird hierbei lokal im eigenen Netzwerk installiert. Die Installation ist in kurzer Zeit realisiert, die Latenzzeiten sind gering, und die Administration ist einfach. Voraussetzung hierfür ist, dass die WAF mit eigenen Administratoren gemanged werden kann. Einige ADC- (Application-Delivery-Controller-) Anbieter bieten eine WAF als Plugin an. Die WAF ist dann eingebettet im Gehäuse der ADC. Die Funktionalität ist die gleiche wie bei einer dedizierten Appliance. Wenn der Endanwender bereits von einem Produktanbieter eine ADC im Einsatz hat, ist es eine Überlegung wert, die WAF demselben Hersteller einzusetzen.

Cloudbasierte WAF

Zahlreiche Dienstleister bieten eine cloudbasierte WAF-Lösung an. Die Datenpakete werden dabei über die WAF beim Dienstleister geschickt, entschlüsselt, geprüft und über eine TLS-Verbindung (Transport Layer Security) an den Webserver weitergeleitet. Der Vorteil dabei ist, dass kein Installationsaufwand entsteht, es muss lediglich die DNS-Auflösung für die Webdienste geändert werden, um die Daten umzuleiten. Ein weiterer Vorteil besteht darin, dass sich der Anwender um die Überwachung der Websysteme nicht mehr kümmern muss. Der Provider übernimmt die Services und sorgt rund um die Uhr für einen reibungslosen Ablauf und greift ein, wenn Probleme zu lösen sind.

WAF als Server Plug-in

Diese WAF als Applikation ist die preiswerteste Lösung und wird im jeweiligen Webserver installiert. Damit ist die höchste Performance gewährleistet, die Skalierbarkeit ist optimal. Das bekannteste WAF-Plug-in ist ModSecurity für den Apache-Webserver sowie IIS von Microsoft. ModSecurity ist eine Opensource-Plattform, das Plugin und ist kostenlos. Das Regelwerk für dieses WAF-Plug-in kann im Abonnement bezogen werden. Der Nachteil ist jedoch, dass die Installation und Administration je Webserver erfolgen muss und sehr aufwändig ist. Außerdem hat es eine Schwachstelle: Wenn das WAF-Modul und der Webserver erfolgreich angegriffen werden, sind gleich beide Systeme betroffen, die Applikationen sind nicht mehr ausreichend geschützt bzw. nicht mehr erreichbar. Speziell für ein Unternehmen, das im Online-Handel tätig ist, würde das einen Umsatzverlust bedeuten.

Reporting

Die Zugriffe auf die Webanwendungen müssen überwacht und dokumentiert werden. Damit werden auch Informationen gesammelt, um die Einhaltung von Complianceanforderungen zu dokumentieren. Mit dem Reporting Tool müssen jederzeit Auswertungen auf Knopfdruck zur Verfügung stehen können. Oft sind vordefinierte Berichte im Lieferumfang enthalten. Die Berichte können an kundenspezifische Bedürfnisse angepasst werden. Mit dem Reporting Tool sollten Korrelationen von Profilverletzungen mit anderen verdächtigen Aktivitäten möglich sein. Somit werden Angriffe schneller erkannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.