Web Application Firewalls

Für Angriffe auf Web-Anwendungen gerüstet

| Autor / Redakteur: Ralf Sydekum* / Stephan Augsten

Traditionelle Firewalls greifen bei Internet-Anwendungen nicht, hier ist man mit einer Web Application Firewall einen Schritt voraus.
Traditionelle Firewalls greifen bei Internet-Anwendungen nicht, hier ist man mit einer Web Application Firewall einen Schritt voraus. (Bild: Archiv)

Rund 75 Prozent der Cyberattacken zielen heute auf IT-Anwendungen sowie die sie tragenden Protokolle. Dennoch investieren Unternehmen circa 90 Prozent ihres IT-Security-Budgets in Standardlösungen, die lediglich auf den Netzwerkebenen greifen. Abhilfe schafft eine Web Application Firewall, die darauf spezialisiert ist, Angriffe auf Anwendungsebene abzuwehren.

Webapplikationen sind im Geschäftsleben allgegenwärtig. Umso wichtiger ist es, dass Sicherheitsverantwortliche einen Überblick haben, wie ihre Anwendungen attackiert werden, um sich so auf kommende Angriffe vorzubereiten. Administratoren benötigen dafür eine Sicherheitslösung, die auf Applikationsebene ansetzt.

In deutschen Unternehmen sind größtenteils Standardlösungen von verschiedenen Anbietern im Einsatz, die häufig nicht aufeinander abgestimmt sind. Doch gegen die Vielzahl und Vielfalt an Cyber-Attacken, die heute überwiegend auf Webapplikationen und die entsprechenden Protokolle zielen, bieten Standardmechanismen keinen ausreichenden Schutz.

Enterprise-, Netzwerk- oder Perimeter-Firewalls am Eintrittspunkt zum Rechenzentrum erfüllen eine „Pförtneraufgabe“. Dort prüfen sie nach einfachen Kriterien, ob der Zugang zum Netzwerk berechtigt ist oder nicht. Diese Schutzwälle stoßen jedoch schnell an ihre Grenzen, wenn es um die Sicherheit von Applikationen geht. Die Standard-Firewall endet meist auf Netzwerkprotokollebene, sie erkennt die IP-Adresse beziehungsweise die Webapplikation, die jemand versucht aufzurufen, und entscheidet danach, ob ein Nutzer zugriffsberechtigt ist oder nicht.

Mehr Granularität in Bezug auf die Inhalte der Webapplikation ist mit dieser Art von Firewall nicht möglich. Ein Schwachpunkt ist beispielsweise, dass eine Standard-Firewall verschlüsselten Content (beispielsweise HTTPS-Anfragen) durchlässt in der Annahme, dass diese sicher sind, und sich auf die dahinter liegenden Systeme verlässt. Quintessenz: Eine Sichtbarkeit der Bedrohungen ist auf Applikationsebene nicht gegeben.

Dem Feind ins Auge schauen

Um einen effektiven Schutz für Webapplikationen aufzubauen, ist es erforderlich, sich zunächst mit den verschiedenen Attack-Typen auseinanderzusetzen – und derer gibt es eine Vielzahl. Das Open Web Application Security Project (OWASP) informiert immer aktuell über die wichtigsten und häufigsten Attacken; zu den gängigsten gehören.

Ergänzendes zum Thema
 
Blick in die Praxis
  • SQL Injection: Mit dieser Methode wird versucht, sich durch Eingabe von gültigen SQL-Kommandos im Authentifizierungsfenster einer Webanwendung (Username, Passwort) uneingeschränkten Zugang auf alle Benutzerprofile zu verschaffen.
  • Session Highjacking: Ist die Verbindung zum Webserver aufgebaut, erkennt der Webbrowser beziehungsweise die Webapplikation die Verbindung über die Session-ID, die oftmals in der URL angezeigt wird. Ein Hacker, der diese Session-ID ausspäht, kann mit der Identität des Nutzers auf die Session, für die er nicht authentifiziert ist, zugreifen und persönliche Daten verändern.
  • Cross-Site-Scripting: Bei Webseiten mit dynamischem Content greifen Hacker in die Java-Skripte ein und verändern das Browser-Verhalten.
  • DDoS-Attacken: Hier werden viele Verbindungen aufgebaut, aber nicht zu Ende geführt, beispielsweise durch TCP-SYN-Flood- oder HTTP-Slowloris-Attacken. Das angegriffene Gegensystem muss deshalb eine Vielzahl an offenen Verbindungen abwickeln, und irgendwann ist die Rechenkapazität ausgeschöpft, der Service oder das komplette System geht in die Knie, und die legitimen User Requests kommen somit nicht mehr durch.

Unternehmen müssen oftmals bestimmte regulatorische Auflagen erfüllen, zum Beispiel PCI (Payment Card Industry) Compliance. Die Sicherheit von Applikationen – und damit die Konformität mit solchen Sicherheitsrichtlinien – lässt sich auf zwei Arten überprüfen.

Entweder unterzieht man die Webapplikation einem Review im Hinblick auf die Sicherheit ihrer Codierung; so bekommt man einen Einblick, inwieweit Sicherheit bereits im Quellcode verankert ist. Dies ist allerdings ein recht aufwändiger Prozess. Oder man setzt alternativ eine Web Application Firewall (WAF) ein, die darauf spezialisiert ist, verschiedene Typen von Attacken auf die unterschiedlichen Webprotokolle wie HTTP sowie die begleitenden Programmier- und Auszeichnungssprachen wie Java oder XML zu erkennen, und somit das nötige Sicherheitsmaß auf Anwendungsebene schafft.

Funktionen einer Web Application Firewall

Nimmt man die Funktionsweise einer Web Application Firewall unter die Lupe, so ist zwischen zwei verschiedenen Fällen zu unterscheiden.

  • Standard-Attacken: Eine WAF sollte in der Lage sein, die bekanntesten und immer wiederkehrenden Attacken über eine Signatur-Datenbank zu erkennen und abzublocken.
  • Komplexe Attacken: Hier erfolgt die Abwehr über einen Eingriff in die Applikationslogik. Die WAF lernt Zugriffsarten auf Applikationen und die Unterscheidung zwischen Angriffen und legitimen Anfragen. Daraufhin macht die WAF einen Vorschlag und bekommt eine Rückmeldung, ob es sich tatsächlich um eine abzuwehrende Attacke handelt (Learning/Policy Engine). Mit diesem Prozess lassen sich auch False-Positives merklich reduzieren.

Die Web Application Firewall liefert idealerweise den Kontext, auf dessen Basis Administratoren Angriffsmethoden einordnen können. Grundlegend dafür sind unter anderem Enforcement und Reporting auf Session-Basis, mit deren Hilfe sich Angriffe nach Nutzern detailliert auswerten lassen. Die WAF vermeldet dann nicht nur, dass eine SQL Injection erfolgt ist inklusive Nutzername, sondern bringt darüber hinaus den Namen des Applikationsnutzers in Zusammenhang mit der Session und spezifischen Sicherheitsverletzungen.

Zudem kann eine WAF eingesetzt werden, um Web-Scraping, also das automatisierte Auslesen von Inhalten aus Webseiten, zu verhindern. Dies funktioniert folgendermaßen: Anhand verschiedener Kriterien wie Timing oder Wiederholungsrate kann die WAF zwischen automatischer und menschlicher Eingabe unterscheiden und den unerwünschten Zugriff verhindern.

Eine wichtige Funktion einer WAF ist auch die Gruppierung verschiedener Angriffe nach vorher festgelegten Kriterien. Beispielsweise können ämtliche Attacken, die von einer IP-Adresse stammen, zu einem einzigen Vorfall zusammengefasst werden. Auf Basis der dazugehörigen Geoinformationen lassen sich Black- und Whitelists definieren.

Ein Beispiel für die Monitoring-Möglichkeiten einer WAF: Ein Administrator kann sich die am häufigsten angegriffene URL des Unternehmens anzeigen lassen. Im Fall von Applikationsproblemen oder langsamem Seitenaufbau zeigen Statistiken die CPU-Auslastung für jeden einzelnen virtuellen Server, sodass Performance- und Kapazitätsprobleme schnell lokalisiert und behoben werden können.

Den effektivsten Schutz bildet eine integrierte Sicherheitslösung, die Schwachstellen-Scanner und Web Application Firewall vereint. Diese All-in-One-Plattformen bilden die Voraussetzung, damit Unternehmen ihren Nutzern jederzeit und überall sicheren, performanten Zugriff auf Webinhalte, -Dienste und -Applikationen bereitstellen können.

Fazit

Um sich wirklich wirksam gegen Cyber-Angriffe zu schützen, benötigen Unternehmen eine Lösung, die auch auf Applikationsebene ansetzt – Standard-Firewalls, die Angriffe lediglich auf Netzwerkprotokollebene sichtbar machen, greifen hier zu kurz. Statt für jede Art von Bedrohung einzelne Sicherheitslösungen zu implementieren, ist es sinnvoll, auf eine integrierte Sicherheitsplattform zu setzen, die alle Funktionen bündelt. Eine Kombination aus Scanner und Web Application Firewall wehrt unterschiedlichste Attackenformen ab, bevor sie auf die Unternehmensserver treffen.

* Ralf Sydekum ist Manager Field Systems Engineering DACH bei F5 Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43131993 / Mobile- und Web-Apps)