Vier Fragen, die Sie vor dem Kauf einer Web Application Firewall stellen sollten

Eine Web Application Firewall (WAF) ist ein sehr komplexes Produkt. Wir zeigen, auf was Sie vor einer Investition besonders achten sollten.

Damit Sie die Sicherheit Web-basierter Anwendungen garantieren können, bedarf es einer gewissen Anzahl an Sicherheitsebenen. Eine davon ist eine so genannte Web Application Firewall (WAF). Eine WAF ist eine entscheidende Schicht, wenn man über die Diskretion, Verfügbarkeit und Integrität von Daten spricht, auf die man via Web zugreifen kann. Mit diesem Beitrag wollen wir Unternehmen beim Kauf einer WAF helfen, indem wir die Schlüsselfragen und die größten Bedenken klären. Mithilfe dieses Wissens sondieren Sie den Markt leichter.

Sprechen wir über Preis, Einsatzmethoden, Komplexität und diverse andere Spezifikationen, dann liegen WAF-Produkte ziemlich weit auseinander. Deswegen ist es vor dem Kauf einer WAF von Vorteil, wenn von den Geschäftsanforderungen, Leistungsmerkmalen und verfügbaren Ressourcen ein gutes Verständnis vorhanden ist. Bei den Ressourcen sprechen wir zum Beispiel von Wissen im eigenen Haus oder vom finanziellen Budget. So finden Sie besser heraus, welches Produkt am besten Ihren Ansprüchen genügt. Angemessene Planung und umsichtige Bewertungen, was der Markt zu bieten hat, sind ebenfalls entscheidend.

Die wichtigsten Punkte und Kaufkriterien, sowie Fragen, die Sie stellen sollten, haben wir nachfolgend für Sie zusammengestellt. Damit finden Firmen die relevanten Tools, um die Bewertungen entsprechend durchführen zu können. Im Anschluss wissen Sie dann, in welche Richtung es gehen soll.

Zu den Kriterien gehören auch eine Überprüfung, inwiefern eine WAF in die jeweilige Umgebung passt, wie sie Angriffe erkennt und darauf reagiert und auf welche Weise sie Logging betreibt. Außerdem ist wichtig, was man für das Management und die Wartung der WAF benötigt. Können Sie diese Fragen für jede Web Application Firewall beantworten, hilft das dem Unternehmen, die richtigen Kaufentscheidungen zu treffen.

1. Wie lässt sich die WAF in Ihre Umgebung integrieren?

Einer der wichtigsten Gesichtspunkte bei der Evaluierung einer Web Application Firewall ist die Einsatzmethode. Anders gefragt: Was ist notwendig, um die WAF ans Laufen zu bringen? Sie haben mehrere Möglichkeiten, eine WAF zu installieren und jede davon sollten Sie sich ansehen. 

Mit Blick auf die existierende Unternehmensumgebung finden Sie heraus, welche Art von WAF sich am besten eignet. In vielen Fällen erlaubt das den Entscheidern, die Liste mit potenziellen Anbietern und Produkten einzugrenzen. Sie eliminieren ganz einfach die Produkte, die in Ihrem Netzwerk und Ihrer IT-Umgebung nicht funktionieren.

  • Inline Appliance: Das ist eine relativ häufige Implementierungsmethode einer WAF. Hier platziert man ein Gerät in einem Netzwerk zwischen dem Anwender und einer Web-Anwendung. Die Verwendung dieser Methode setzt normalerweise Wissen im eigenen Haus voraus, weil die Netzwerk-Administratoren die Netzwerk-Konfiguration(en) in der eigenen Umgebung ändern müssen. Das ist ideal, wenn ein Unternehmen technisch qualifizierte Mitarbeiter beschäftigt oder sich die Installation durch den Anbieter oder einen Consultant leisten kann.
  • Cloud-basierte WAF: Diese WAF-Methode setzt normalerweise voraus, dass ein Unternehmen die DNS-Einträge auf die IP-Adresse der WAF des jeweiligen Providers umleitet. Der Anbieter leitet den Web-Traffic dann zur eigentlichen Applikation auf dem relevanten Host weiter. In vielen Fällen müssen Unternehmen auch Ihre SSL-Schlüssel zur Verfügung stellen, weil die Server des Anbieters die Daten vor der Weiterleitung entschlüsseln. Möglicherweise gibt es an dieser Stelle Auswirkungen auf die Performance, weil der Traffic vor einem Erreichen der Unternehmensserver durch zusätzliche Stufen muss. Die meisten Provider verfügen allerdings über ausreichend Bandbreite, so dass es hier in der Regel zu keinen Problemen kommt. Im Hinterkopf sollten Sie diesen Umstand trotzdem behalten. Eine Cloud-basierte WAF lässt sich oftmals einfacher implementieren, weil man wirklich nur die DNS-Einträge ändern und unter Umständen die SSL-Schlüssel installieren muss. Für die interne IT-Abteilung bedeutet diese Herangehensweise häufiger auch weniger Arbeit. Hinweis: Viele Cloud-basierte Programme bieten heutzutage auch DDoS-Schutz an.
  • Integrierte WAF: Möchten Sie eine Code- oder Software-basierte WAF einsetzen, dann sind sehr wahrscheinlich Änderungen im Code der Web-Applikation oder den entsprechenden Webservern vorzunehmen. Für technisch versierte Mitarbeiter ist das eine hervorragende Option, die außerdem viel günstiger als andere WAF-Produkte sein kann. Sie müssen auch keine Änderungen an der Netzwerkarchitektur oder der DNS-Konfiguration vornehmen. Integrierte WAF-Produkte haben normalerweise die geringsten allgemeinen Auswirkungen auf Netzwerke, Systeme und Performance.

Sie sollten während der Evaluierungsphase für eine WAF unbedingt mit dem potenziellen Anbieter reden und auch interne Teams involvieren. Möglicherweise gibt es Anforderungen oder Einschränkungen, über die sich die eine oder andere Partei nicht im Klaren ist, die allerdings einen großen Einfluss auf die Wahl haben könnten. Ein Beispiel an dieser Stelle wäre, wie die gewünschte WAF mit den sich im Einsatz befindlichen Webservern zusammenarbeitet. 

Sind die Administratoren der Webserver mit im Boot, lassen sich mögliche Probleme bereits im Vorfeld und während der Implementierungsphase aus der Welt schaffen. Ein weiteres häufig auftretendes Problem ist, wenn man umfangreiche, netzwerkbasierte Inhalte durch eine Cloud-basierte WAF streamen möchte. Sind die Teams Netzwerk und Performance-Testing mit von der Partie, kann man Missstände bei der Latenz aus der Welt schaffen.

Ein weiterer wichtiger Punkt ist, wie die WAF mit Secure Sockets Layer (SSL) umgeht. Diese Technologie schützt bekanntlich die Daten und Identitäten einer Website, wenn diese über das Internet übertragen werden. WAF-Implementierungen unterscheiden sich dadurch, wie sie mit SSL umgehen.

Bei Cloud- und Appliance-basierten WAF-Implementierungen müssen Unternehmen den Datenverkehr entschlüsseln, um diesen sehen zu können. Entweder terminiert man die SSL-Session und erschafft sie nach Notwendigkeit neu oder man entschlüsselt die Sessions, während diese durch die WAF wandern. Stellen Sie bei einer Evaluierung der Produkte sicher, dass diese Optionen unterstützt werden.

2. Wie erkennt die WAF Angriffe und wie reagiert sie darauf?

WAFs arbeiten, indem Sie in erster Linie die Inhalte der Anfragen und Antworten zwischen dem Applikationsserver und dem Client inspizieren. Wie und was die WAF untersucht, ist für die Wirksamkeit zum Schutz der Unternehmensressourcen entscheidend.

Eine WAF untersucht zum Beispiel Header, Sessions, Datei-Uploads und so weiter. Je nachdem fällt auch die Reaktion aus. Eine WAF sollte in der Lage sein, alle Komponenten einer Anfrage oder einer Antwort unter die Lupe nehmen zu können. Dazu gehören auch Session-Details. Gibt eine Applikation die Anforderung aus, die Anzahl der Sessions für einen bestimmten Anwender zu limitieren, können die meisten WAFs bei diesem Unterfangen behilflich sein. 

Eine WAF sollte weiterhin Konfigurationen zur Verfügung stellen, die Administratoren mit wenigen Schritten aktivieren können. Hat eine Firma bestimmte Ansprüche zur Verwendung von GET oder POST oder spezifischen Komponenten im Referrer, sollte die WAF das unterstützen.

Die Erkennung von Anomalien oder bösartigem Traffic basiert auf verschiedenen Modellen. Es ist allerdings wichtig, die einzelnen Formen zu verstehen:

  • Verwendet die WAF einen Blacklist-Ansatz, wird sie lediglich Anfragen blockieren, wenn sie sich bei den in dieser Liste bekannten Angriffen befinden. Altbekannte Attacken wie zum Beispiel SQL Injection oder Cross-Site Scripting enthalten häufig bestimmte Zeichen, die sich wiederum einfach erkennen lassen. Blacklisting funktioniert hervorragend, so lange sich die WAF der Angriffsmethode bewusst ist. Deswegen muss man Blacklists immer auf dem aktuellen Stand halten, da sich die Bedrohungen oftmals verändern.
  • Benutzt die WAF eine Whitelist, lässt sie lediglich Anfragen durch, die den Kriterien in der Liste oder der Konfiguration entsprechen. Die Erkennungsmethode ist während der Implementierung am Frontend aufwendiger. Allerdings ist die Herangehensweise in der Regel sicherer. Sie blockt schließlich alles, das nicht ausdrücklich gestattet ist.

Jede dieser beiden Methoden sollte sich vom technischen Team eines Unternehmens konfigurieren lassen.

Neben der Erkennung ist es auch noch sehr wichtig, wie die WAF auf einen Angriff oder eine Anomalie reagiert. WAFs bieten in der Regel diverse Reaktionsoptionen an. Diese sollten sich möglichst einfach über die Konfigurationsschnittstelle ändern lassen. Normalerweise interagiert eine WAF mit einer Anfrage oder einer Session in irgendeiner Form, wenn ein Angriff oder eine Anomalie entdeckt wurde. 

Möglich ist ein Abbruch der Sitzung mit dem Applikationsserver oder das Blockieren einer einzelnen Anfrage. Jede der Methoden hat Vorteile und Nachteile. Aus diesem Grund ist ein Verständnis wichtig, was überhaupt zur Verfügung steht.

Eine WAF sollte sich so konfigurieren lassen, dass eine der nachfolgenden Methoden für eine Blockierung verfügbar ist:

  • Die Session blockieren
  • Die IP-Adresse blockieren
  • Die Anfrage blockieren
  • Den Anwender abmelden
  • Den Anwender blockieren

Im Idealfall sollte eine WAF die oben genannten Optionen in verschiedenen Konfigurationen als eine Reaktion auf die Erkennung eines Angriffs oder einer Anomalie bereitstellen. In einigen Fällen könnte es aber vorkommen, dass eine WAF auf ein anderes Gerät angewiesen ist, um den Blockiervorgang durchführen zu können. Denkbar sind hier Netzwerk-Firewalls oder Router. Unternehmen sollten sich versichern, dass das gewählte WAF-Produkt mit existierenden Netzwerkgeräten kompatibel ist, wenn Sie die entsprechenden Funktionen nutzen wollen.

3. Wie führt die WAF das Logging durch?

Die wahrscheinlich wichtigste Funktion einer WAF ist der Schutz vor Angriffen. Fast genauso wichtig ist allerdings die Möglichkeit, ein Log führen und den Administrator über die Aktivitäten informieren zu können. In einigen Fällen haben Firmen vielleicht den Verdacht, dass ein Angriff im Gange ist oder ein Anwender kompromittiert wurde. Nun wollen die Administratoren natürlich im Detail wissen, was da genau passiert ist. Unter solchen Umständen sind Wo-, Was- und Wie-Logs in der WAF entscheidend. Dieses Logging geht am einfachsten, wenn man die bewährte Methode Wo, Wann und Was verwendet.

Sprechen wir zunächst über das Was. Was loggt die WAF? Im Idealfall ist das natürlich so viel wie möglich. Sie sollte jede Transaktion verfolgen. Dazu gehören auch Sessions, Navigationsdetails und alles dazwischen. Die kompletten Details jedes Transaktion-Log-Eintrags sollten gut dokumentiert sein. Das spart bei der Untersuchung eines Vorfalls Aufwand und somit Zeit. Ist das Logging so detailliert wie möglich, können Unternehmen auch Probleme finden und ausbessern, die durch die Konfiguration der WAF selbst ausgelöst werden.

Widmen wir uns nun dem Wann. Dieser Bereich ist eigentlich sehr geradlinig, man muss sich allerdings auf zwei Schlüsselpunkte konzentrieren. Es sollte an dieser Stelle mindestens zwei Sätze an Logs geben. Der erste wäre ein Zugriffs- oder Transaktions-Log, in dem alle Aktivitäten festgehalten werden, die durch die WAF gehen. 

Beim zweiten Satz handelt es sich um ein Ereignis-Log. Dort werden nur Einträge hinterlegt, wenn etwas die Funktionen Erkennung oder Reaktion in der WAF auslöst. Beide Logs sind zwar wichtig, allerdings wird man das Ereignis-Log häufiger benutzen. Dort weisen Einträge auf abnormales Verhalten hin. Dazu gehören zum Beispiel Angriffe oder versuchte Angriffe.

Sehen wir uns abschließend das Wo an. Wo die Log-Dateien gespeichert werden und wie man sie an einen zentralen Logging-Service schickt, ist sehr wichtig. Sind die Logs mit den SIEM-Systemen (Security Information and Event Management) kompatibel, die von der Organisation eingesetzt werden? Hält man die Logs eine gewisse Zeit auf den Geräten vor? Verschleiert die WAF sensible Informationen wie zum Beispiel Sozialversicherungsnummern oder Kreditkarteninformationen, die in den Abfragen vorkommen? Das könnte wichtig sein, um mit Regularien wie PCI DSS (Payment Card Industry Data Security Standard Version) oder Datenschutzvorgaben hinsichtlich Sicherheits-Monitoring konform zu sein.

Zum Wo gehört außerdem, wie Alarme erzeugt und an die Administratoren gesendet werden. Warnungen via E-Mail, Webportale und SNMP sind die Norm. Je mehr Optionen allerdings verfügbar sind, desto besser.

4. Wie wird die WAF gemanagt und aktualisiert?

WAFs sind nicht dafür konzipiert, einmal konfiguriert zu werden und dann in Vergessenheit zu geraten. Auf lange Sicht ist es sehr wichtig, wie man die Security-Komponenten managt. Verwendet eine WAF Blacklist-Signaturen oder Richtlinien, sollte ein Unternehmen sehr genau wissen, wie man diese aktualisiert. Die Firma sollte außerdem sicherstellen, dass sie diese Regeln nach Belieben oder Anforderungen modifizieren kann, um maximale Flexibilität zu erhalten.

Verwendet das Unternehmen die Scripting-Sprache PHP nicht, benötigt sie mit hoher Wahrscheinlichkeit auch nicht die angesprochenen Blacklist-Signaturen oder Ausdrucksregeln. Am besten deaktiviert man die entsprechende Funktion in so einem Fall. Normalerweise konfiguriert man diese WAF-Policies mithilfe der Management-Schnittstelle. Versichern Sie sich deswegen, dass Sie diese Policies vollständig selbst konfigurieren können. Nur so haben Sie die komplette Kontrolle darüber, wie die WAF arbeitet.

Bekommen Sie regelmäßige Updates vom Anbieter? In welcher Form werden diese geliefert? Viele stellen eine Datei für manuelle Updates zur Verfügung oder erlauben es der Appliance, automatisch einen Update-Service zu kontaktieren. Die gleichen Überlegungen gelten auch für das darunterliegende Betriebssystem und dessen entsprechenden Updates. Hier kommt es natürlich darauf an, worauf die WAF läuft. Mögliche Beispiele wären Linux oder Windows. Es kommt weniger darauf an, welchen Update-Mechanismus die WAF einsetzt. Entscheidend ist, dass sie aktualisiert. Ein unsicheres Gerät für die Absicherung der Webapplikationen eines Unternehmens ist irgendwie kontraproduktiv.

Fazit

Unterm Strich lässt sich sagen, dass die Entscheider eines Unternehmens vor einem Kauf einer WAF eine umfassende und detaillierte Liste mit Fragen klären sollten. Formulieren Sie diese Frage schon im Vorfeld aus und beantworten oder adressieren Sie jede einzelne, bevor Sie eine finale Entscheidung treffen. Als zusätzliche Quelle können Sie ein WAF-Evaluierungs-Dokument des Web Application Security Consortiums verwenden. Ein Blick in das sehr detaillierte Schriftstück lohnt sich und es hilft bei der finalen Entscheidung.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close