Mit Web Application Firewalls (WAF) Angriffe auf Webanwendungen abwehren

Die Angriffe auf Webanwendungen nehmen zu. Bevor Sie aber eine WAF kaufen, sollten Sie sich über die Technologie und sinnvolle Funktionen informieren.

Angreifer suchen vermehrt nach unautorisiertem Zugriff auf sensible Daten. Wir sprechen hier zum Beispiel von Kreditkartennummern und Kundendaten. Diese verwenden Cyberkriminelle dann, um Identitätsdiebstahl, Finanzbetrügereien oder anderes Schindluder zu treiben. Weil sich so viele dieser Daten in Datenbanken im Backend befinden, auf die man über Webapplikationen zugreift, sind diese Anwendungen natürlich im Fokus der Angreifer, um an die gewünschten Informationen zu kommen.

Sogenannte Web Application Firewalls (WAFs) wurden entwickelt, um Angriffe zu verhindern, die auf Webserver und die dahinter stehenden Datenbanken abzielen. Als Folge davon verhindern sie natürlich Verletzungen der Datensicherheit. Natürlich ließe sich jede Webanwendung eines Unternehmens mithilfe einer WAF schützen. 

Allerdings bekommt man die höchste Rentabilität, wenn man Anwendungen schützt, die von Dritten entwickelt wurden und bei denen das Unternehmen keinen Zugriff auf den Quellcode hat. Das Unternehmen kann aus diesem Grund Sicherheitslücken in der Anwendung nicht direkt adressieren. 

Es gibt auch keine praktikable Möglichkeit, damit eine Firma dies in Eigenregie durchführt. Man hat lediglich die Option, den Hersteller zu bitten, die Änderungen einzupflegen und kann auf eine aktualisierte Version hoffen. Somit besteht kurzfristig oder auch langfristig die Notwendigkeit, dass man selbst das Heft in die Hand nehmen muss. Das bedeutet, die Webapplikation hinter einer Schicht zu schützen, die die Schwachstellen der Anwendung kompensiert.

Web Application Firewalls werden oft durch Richtlinien, Regularien oder andere Anforderungen vorgeschrieben. Zum Beispiel sieht Auflage 6.6 in PCI DSS Version 3.0 vor, dass man entweder Schwachstellenbewertungs-Tools für Applikationssicherheit oder eine WAF einsetzt, um öffentlich erreichbare Webanwendungen abzusichern. 

Wirft man nun einen Blick auf die Security-Bewertungs-Tools (besonders wenn kein Quellcode verfügbar ist) plus die Ansprüche an die Mitarbeiter, um diese Bewertungen durchführen und analysieren zu können, entscheiden sich viele Firmen für eine WAF. Das ist verglichen mit den Bewertungs-Tools einfacher, PCI DSS gerecht zu werden.

Wie eine WAF funktioniert

Eine WAF lässt sich als dedizierte Appliance einsetzen. Oftmals platziert man diese inline (vor den Webservern) oder als serverbasiertes Add-on. Bei letzterer Methode laufen sie direkt auf dem jeweiligen Webserver. Auf alle Fälle fängt eine WAF HTTP-Anfragen  ab und stellt sicher, dass diese gutartig sind. 

Erst danach darf der Webserver diese weiterverarbeiten. Die Web Application Firewall analysiert jede HTTP-Anfrage und entsprechend auch die vom Server generierten Antworten. Die Komponente kennt dabei dutzende Arten an bekannten Angriffen. Hiermit sind unter anderem Session Hijacking, Path Traversal, Buffer Overflows, DoS (Denial of Service), XSS (Cross-Site Scripting) und SQL Injection gemeint. Erkennt die WAF einen Angriff, kann sie die dazugehörige Anfrage oder eben die Antworten blockieren. Diese erreichen dann den Empfänger niemals und der Angriff ist verhindert.

Funktionen einer WAF

Wie bei jeder anderen Sicherheitstechnologie ist es auch bei WAFs so, dass verschiedene Produkte unterschiedliche Leistungsfähigkeiten besitzen. Logischerweise ist es für eine WAF wichtig, die Angriffe auf die Webapplikationen zu erkennen und diese zu verhindern.

Es gibt aber noch andere Faktoren, die man in die Rechnung aufnehmen muss. Sehr wichtig sind zum Beispiel die sogenannten False Positives. Diese treten auf, wenn eine gutartige Aktivität fälschlicherweise als bösartig eingestuft und somit blockiert wurde. Das stört natürlich den Betrieb. 

Eine Web Application Firewall sollte Maßnahmen ermöglichen, mit denen sich False Positives auf ein Minimum reduzieren lassen. Ist das nicht der Fall, gibt es möglicherweise ein Bombardement an Warnungen und im Endeffekt bereitet die WAF so viele Probleme, dass man sie deaktiviert oder umgeht. Das öffnet wiederum Tür und Tor für Angriffe und Einbrüche.

Weiterhin ist es wichtig, dass ein WAF-Produkt regelmäßig aktualisiert wird, vor allen Dingen, wenn es Erkenntnisse über neue Angriffsvektoren gibt. Einige WAFs bieten einen Leumundsservice (Reputation Service) an. Dazu gehört die globale Überwachung auf „gute“ und böswilligen IP-Adressen, Domänen, Anonymisierungsdiensten und so weiter. 

An dieser Stelle möchte man potenzielle böswillige Ursprungspunkte identifizieren, bevor ein Angriff ausgeführt werden kann. Diese Leumundsservices sind in der Regel für eine WAF nicht notwendig. Nützlich sind sie allerdings schon, da sie die Angriffserkennung einer WAF stark verbessern, was sich im Endeffekt auch auf die Rate der False Positives auswirkt.

Eine weitere nützliche Funktion einiger WAF-Produkte ist die Integrationsmöglichkeit mit Bewertungs-Tools für Applikationssicherheit. Benutzt man eine Web Application Firewall zusammen mit einem Security-Bewertungs-Tool, kann die WAF automatisch maßgeschneiderte Richtlinien basierend auf den Webapplikations-Scans des Tools erstellen. 

Anders gesagt identifiziert das Tool die Schwachstellen, die WAF-Richtlinien halten nach diesen dann Ausschau und verhindern die Ausnutzung dieser Sicherheitslücken. Genau wie die Leumundsservices ist diese Integrationsfunktion nicht notwendig. Allerdings hilft es bei der Genauigkeit der Erkennung und reduziert natürlich die Arbeitsbelastung der Mitarbeiter. Was man normalerweise in aufwendigen manuellen Prozessen erledigen muss, wird hier automatisiert.

Fazit

Web Application Firewalls sind unglaublich nützliche Tools, um Webanwendungen vor einem breiten Spektrum an Angriffen zu schützen. Auch wenn WAFs für Anwendungen am nützlichsten sind, bei denen es keinen Zugriff auf den Quellcode gibt, profitieren andere Anwendungen ebenfalls davon. 

WAFs können Schutz während des Zeitraums bieten, währenddessen das Unternehmen eine Sicherheitslücke erkannt, gestopft und Updates ausgeliefert hat. Firmen mit sensiblen Daten, die via Web erreichbar sind, sollten unbedingt eine WAF einsetzen. 

Eine Web Application Firewall ist eine wichtige Komponente im Verteidigungsmechanismus, um Datensicherheitsverletzungen zu vermeiden. Wenn Unternehmen WAFs evaluieren, sollten sie sich nach aufkommenden Funktionen wie den angesprochenen Leumundsservices oder die erwähnte Integrationsmöglichkeit mit Sicherheitsbewertungs-Tools umsehen. Damit wird die Web Application Firewall noch genauer bei der Erkennung und Vermeidung von Angriffen.

Über den Autor:
Karen Scarfone ist leitende Cybersecurity-Expertin bei Tapestry Technologies und leitende Beraterin bei Scarfone Cybersecurity. Sie berät Kunden im Bereich Cybersecurity und ist auf Netzwerk- und Security-Richtlinien spezialisiert. Scarfone war vorher leitende Wissenschaftlerin des National Institutes of Standards and Technology (NIST). Sie betreute dabei die Entwicklung der System- und Netzwerk-Security-Publikationen für öffentliche Einrichtungen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close