Was ist eine Web Application Firewall (WAF)?
Eine Web Application Firewall (WAF) schützt Webanwendungen vor diversen Internet-Bedrohungen über das Hypertext-Transfer-Protocol (HTTP), hält die Verfügbarkeit der Anwendung aufrecht, erhöht die Sicherheit und verhindert den übermäßigen Verbrauch von Ressourcen. Die Sicherheitskomponente ist ein Spezialfall eines Application Layer Gateways (ALG) oder einer Application Layer Firewall (ALF). Projekte zu WAFs sind äußerst komplex und häufig Bestandteil eines Application Delivery Controllers (ADC). Solch ein Gerät oder System ist für Netzwerke in Unternehmen jedoch nur eine von mehreren Komponenten für eine solide Sicherheitslösung.
Worum handelt es sich zusammengefasst?
Im Grunde handelt es sich um einen auf Anwendungsebene operierenden Filter zwischen Client und Server. Der Filter blockiert gefährliche Anfragen, bevor diese die Anwendung erreichen. Der Administrator kontrolliert den Datenverkehr und kann diesen gegebenenfalls einschränken oder blockieren. Dafür nutzt dieser individuell anpassbare Sicherheitsregeln (Filter) und blockiert so bekannte Angriffsmuster wie zum Beispiel Siteübergreifendes Scipting (XSS) oder SQL-Injections (SQLi). Abwehrmechanismen wie Netz-Firewalls schützen vor solchen Angriffsarten nicht.
Darum ist eine WAF wichtig
Eine richtig ausgewählte, installierte und konfigurierte WAF verbessert den Schutz vor Bedrohungen deutlich. Es lassen sich mit einer Web Application Firewall auch solche Angriffe erkennen, die klassische Firewalls und Intrusion Detection Systeme (IDS) nicht erkennen können, da der schützende Mechanismus auf der Anwendungsebene stattfindet. Die WAF untersucht den Datenstrom, den ein Web-Browser an die zu schützende Webanwendung schickt und verhindert, dass gefährliche Daten überhaupt erst bis zum Server übertragen werden. Solche Angriffe erfolgen zum Beispiel über E-Mails, das Remote Login oder den Datenverkehr. Durch den Einsatz können vorhandene Sicherheitslücken für mehrere Anwendungen gleichzeitig geschlossen werden. So lassen sich unter anderem auch nicht mehr updatefähige Altsysteme und Programme, für die der Entwickler noch kein Update zum Schließen bekannter Lücken bereitgestellt hat schützen.
Wovor soll eine WAF schützen?
Die Web Application Firewall soll neben verschiedenen Arten von Injection-Angriffen und Cross-Site Scripting (XSS) vor weiteren Angriffsarten wie Parameter Tampering, Hidden Field Tampering, Cookie Poisoning, Forceful Browsing und Pufferüberlaufangriffen schützen.
Welche Arten werden unterschieden?
Web Application Firewalls werden hinsichtlich der Position in der Netzwerktopologie unterschieden. Die Firewall kann als Appliance, Reverse Proxy, Plugin für einen Webserver, direkt im Webserver integriert oder als passives Device (IDS) installiert sein und aufgrund der zentralen Position sämtliche Anfragen an eine Anwendung untersuchen.
Wie funktioniert die WAF?
Im Betrieb untersucht die WAF sämtliche eingehenden Server-Anfragen und die Antworten – und unterbindet den Zugriff bei verdächtigen Datenströmen. Um gefährliche Aktionen zu klassifizieren, kommt häufig ein vorgeschalteter Application Security Scanner zum Einsatz. Durch diesen, oder alternativ eine Art Crawler, wird mit den Webseiten der Webanwendung kommuniziert und es werden vorhandene Formularfelder getestet. Während des Testens protokolliert die Anwendung erlaubte und nicht erlaubte Eingaben und speichert diese in einer Log-Datei ab. Anschließend sieht der Administrator, welche Eingaben die WAF im echten Betrieb blockieren würde und kann die Filterregeln entsprechend anpassen.
Beispiel: Ein Formular soll zwei Parameter übertragen, die Software verhindert jedoch die Übertragung von weiteren Parametern nicht. Die WAF kann dann alle Anfragen blockieren, die drei oder mehr Parameter enthalten. Auch der Inhalt oder die Länge der Parameter ist so überprüfbar. Viele Angriffe lassen sich beispielsweise bereits durch die Definition einer maximalen Länge und des erlaubten Wertebereichs abwehren.
Die zwei WAF-Architekturen
Für die Integration einer WAF stehen zwei Architektur-Varianten zur Auswahl. Beim zentralisierten Ansatz befindet sich die WAF direkt hinter der Netzwerk-Firewall. Der gesamte Verkehr wird hindurch geleitet, bevor die Datenpakete die Web-Server erreichen. Bei der zweiten Variante handelt es sich um Host-basierte WAFs, die auf den Web-Servern installiert werden. Für die erste Variante ist eine höhere Leistung erforderlich, da die WAF im Gegensatz zur verteilten Lösung mehrere Anwendungen gleichzeitig schützen muss.
Welche Probleme gibt es beim Einsatz von Web Application Firewalls?
Unter Umständen ist es möglich, die WAF zu umgehen und so Sicherheitslücken weiter auszunutzen. Neue Angriffe können zum Beispiel über HTTP Request Smuggling erfolgen. Eine weitere Gefahr ist es, dass die Verwendung dazu verleitet, bekannte Probleme in Anwendungen nicht zu reparieren, da die WAF die Sicherheitslücke schließt. Eine Web Application Firewall ersetzt jedoch keine sichere Anwendung, erkannte Lücken müssen für die maximale Sicherheit dennoch gestopft werden.
Worauf ist bei der Auswahl zu achten?
Bei der Auswahl einer geeigneten WAF sind vorab verschiedene Fragen zu beantworten. Ziel soll es sein, die Sicherheit im Rahmen einer umfassenden Defense-in-Depth-Strategie zu verbessern. Eine konkrete Analyse ist sinnvoll, was mit der zusätzlichen Firewall erreicht werden soll. Die verschiedenen Angebote müssen dann auf die Eignung zur Lösung der individuellen Probleme verglichen werden.