:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Umfassender Schutz für Web-Anwendungen Grundlagen der Web Application Firewalls
Eine Web Application Firewall (WAF) überwacht und schützt Webanwendungen, die über das HTTP-Protokoll arbeiten. Eine WAF arbeitet regelbasiert, um Angriffsarten wie zum Beispiel Cross Site Scripting (XSS), Angriffe oder SSL-Injections abzuwehren oder aktuelle Applikationen vor neu entdeckten Sicherheitslücken mittels virtueller Patches zu schützen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Betrieb unterscheidet sich eine Web Application-Firewall (WAF) von einer normalen Firewall dadurch, dass sie die Inhalte der von ihr abgesicherten Anwendungen auf Applikationsebene im Auge behält und nicht den gesamten Web-Verkehr über Absender- und Zieladressen sowie Ports absichert. Web Application-Firewalls sind als Appliances (wie SecureSphere von Imperva), als Server Plugins und auch als Filter erhältlich. Oft arbeiten sie auch innerhalb anderer Sicherheitslösungen, sowohl auf speziellen Sicherheits-Appliances als auch auf Servern, die unter einem Standard-Betriebssystem wie Linux oder Windows laufen. Auch virtuelle Appliances eignen sich für den Einsatz von WAFs, so ist zum Beispiel Radwares AppWall als solches Produkt erhältlich. In den letzten Jahren sind auch noch diverse andere WAF-Implementierungen auf den Markt gekommen. Dazu gehören gehostete und Cloud-basierte WAFs – beispielsweise von Akamai oder Barracuda – genauso wie WAFs, die als Dienstleistungen angeboten werden, wie Impervas Incapsula.
Viele Unternehmen setzen WAFs ein, die ihre proprietären Anwendungen absichern. Da WAFs immer bestimmte Anwendungen schützen, müssen sie stets genau an diese angepasst werden, nicht nur bei der Implementierung, sondern auch, wenn die betroffenen Anwendungen irgendwelche Änderungen erfahren. Im Betrieb schützen die WAFs die Server der jeweiligen Organisation vor Bedrohungen wie gesagt dadurch, dass sie die Kommunikation auf der Anwendungsebene untersuchen. Dabei sind sie von den zu schützenden Anwendungen unabhängig. Die meisten WAFs eignen sich nicht nur für die Arbeit mit einer Applikation, sondern können gleichzeitig mehrere Anwendungen absichern. Dabei sorgen sie für Schutz gegen unterschiedliche Bedrohungen. Dazu gehören auch bekannte Sicherheitslücken in den Anwendungen. WAFs unterbinden Angriffe auf diese, ohne dass es dazu erforderlich ist, die Applikationen selbst zu patchen, was vor allem beim Einsatz von Legacy-Anwendungen eine große Rolle spielt. Das gleiche gilt für das Schützen aktueller Applikationen vor neu entdeckten Sicherheitslücken. Wird eine solche Sicherheitslücke bekannt, für die noch kein Patch existiert, so haben die Administratoren Gelegenheit, die Regeln ihrer WAF so anzupassen, dass Angriffe auf die genannte Vulnerability unmöglich werden. Das bezeichnet man auch als "virtuellen Patch". Besonders leistungsfähige WAFs bringen sogar automatisch virtuelle Patches in Position.
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366632/original.jpg "Das Management-Interface von Barracuda.")
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366633/original.jpg "Die Radware-Lösung bringt ein umfassendes Dashboard mit grafisch aufbereiteten Informationen mit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366634/original.jpg "Die Web Application Firewall FortiWeb 4000E von Fortinet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1366600/1366635/original.jpg "Akamai bietet über das Luna Control Center unter anderem umfassende Statistiken an.")
Funktionsweise
WAFs arbeiten in der Praxis vor den zu schützenden Web-Anwendungen (also zwischen Client und Server) und analysieren den Datenverkehr dieser Applikationen in beide Richtungen. Das heißt, sie untersuchen sowohl die Anfragen der Clients, als auch die Antworten der Server innerhalb der Benutzer-Sessions. Dabei erkennen sie idealerweise sämtliche potentiell gefährlichen Daten und blocken sie. Da die Datenanalysen in Echtzeit erfolgen, müssen die WAFs über eine Hardware mit ausreichender Leistung verfügen, um effektiv zu sein. Die NetScaler WAFs von Citrix beispielsweise sind sehr performant. WAFs stellen übrigens keine Stand-Alone-Sicherheitslösungen dar, sondern kommen normalerweise in Kombination mit anderen Produkten, wie Firewalls und Intrusion Prevention-Systemen (IPS) zum Einsatz.
Neben Regeln setzen WAFs oftmals auch Signaturen und Parsing - also Analysen der Inhalte – ein, um Sicherheitsprobleme aufzudecken. Innerhalb der Netze finden sie entweder als Transparent Bridge, als Transparent Reverse Proxy oder als Reverse Proxy Verwendung. Transparent bedeutet in diesem Zusammenhang, dass der Datenverkehr direkt an die Anwendung geschickt wird, die WAF ist also weder für den Client, noch für den Server sichtbar. Bei einer Reverse Proxy-Konfiguration gehen die Daten im Gegensatz dazu erst einmal an die WAF, die sie dann an den Server weiterleitet.
Im täglichen Einsatz haben die Administratoren in der Regel sehr umfassende Optionen, um ihre Anwendungen mit einer WAF sicherer zu machen. Stellt die Applikation beispielsweise ein Formular zur Verfügung, das vier Eingaben erwartet, so lässt sich die WAF so konfigurieren, dass sie alle Datenübertragungen unterbindet, die fünf oder mehr Parameter umfassen. Alternativ besteht auch die Möglichkeit, die übertragenen Inhalte auf ihre Richtigkeit im jeweiligen Kontext hin zu überprüfen oder sicher zu stellen, dass die Eingaben die richtige Länge haben. Auf diese Art und Weise lassen sich viele Angriffe unterbinden oder zumindest erschweren.
Neben den Protokollen HTTP und HTTPS überwachen viele WAFs auch XML-RPC und SOAP. Manche WAFs sind übrigens dazu in der Lage, den von ihnen analysierten Datenverkehr zu nutzen, um zu lernen, ungewöhnliche Muster zu erkennen und die Anwendungen so gegen bisher unbekannte Angriffsmuster abzusichern. Auch die Zugriffskontrolle spielt bei vielen WAFs eine wichtige Rolle, die Lösungen von Ergon Informatik und F5 bringen in diesem Bereich zum Beispiel viele Funktionalitäten mit.
Sicherheitskonfiguration
Generell gilt, dass WAFs mit zwei unterschiedlichen Sicherheitsmodellen zum Einsatz kommen können. Das Whitelisting blockiert jeden Datenverkehr, außer dem, den die IT-Mitarbeiter ausdrücklich zulassen. Das Blacklisting lässt hingegen alle Daten durch, die die Administratoren nicht ausdrücklich verboten haben. Einige Produkte setzen auch eine Kombination der beiden Optionen ein.
In der Praxis erfordert Whitelisting einen deutlich höheren Konfigurationsaufwand als Blacklisting und ist auch empfindlicher, wenn die zu sichernde Anwendung irgendwie geändert wird, da das in der Regel auch zu Modifikationen in der Übertragung führt. Generell ist Whitelisting deswegen für viele Anwendungsbereiche nicht sinnvoll, auch wenn es in Sonderfällen durchaus Vorteile mit sich bringen kann, da es im Prinzip das Sicherheitsniveau verbessert.
Auch beim Blacklisting ist es aber schwierig, eine Liste aller möglichen bösartigen Datenübertragungen zu erzeugen und auf dem aktuellen Stand zu halten. Deswegen sind die eben genannten automatischen Lernverfahren, die es einer WAF ermöglichen, selbstständig guten von schlechtem Verkehr zu unterscheiden, von großer Bedeutung.
WAF-Typen und Management
Neben den WAFs, die zwischen dem zu sichernden Server und den Clients zum Einsatz kommen, gibt es – wie angesprochen – auch WAFs, die direkt auf den Servern laufen, die sie schützen sollen. Beispielsweise als Plugins für den Webserver oder als zusätzliche Software. Das spart die Installation einer dedizierten Hardware. Allgemein muss man aber in diesem Zusammenhang berücksichtigen, dass die Leistung dedizierter Geräte normalerweise höher ist, als die von Host-basierten Lösungen.
Ein weiterer Unterschied liegt im Management. Während eine dedizierte WAF üblicherweise dazu in der Lage ist, mehrere Anwendungen im Netz zu sichern und dabei über eine zentrale Verwaltungskonsole administriert wird, schützen die Host-basierten Systeme in der Regel nur die Applikation, die auf dem jeweiligen Server läuft. Damit die Administratoren in solch einem Szenario nicht gezwungen sind, mit einer Vielzahl unterschiedlicher Konfigurationswerkzeuge zu arbeiten, stehen für viele Host-basierte WAFs aber ebenfalls zentrale Management-Konsolen zur Verfügung, die mehrere Installationen steuern können.
Cloud-basierte WAFs und WAFs auf SaaS-Basis leiden in der Praxis oft darunter, dass für sie keine zentrale Management-Konsole erhältlich ist, über die die Anwender – also die Kundenunternehmen, nicht die Dienstleister – jederzeit auf die Systeme zugreifen können. Hier gilt es folglich im Vorfeld zu klären, welche Bedeutung dieser Punkt hat und sich dann für ein entsprechendes Produkt zu entscheiden.
In Bezug auf das Management ist noch die DenyAll WAF von Rohde und Schwarz Cybersecurity zu nennen. Diese verfolgt nämlich bei der Konfiguration einen besonderen Ansatz. Die Verkehrssteuerung und -analyse wird über grafische Workflows abgewickelt. Im Betrieb fügen die Administratoren über Drag-and-Drop Steuerungsfunktionen und andere Aktionen in das Workflow-Diagramm ein, ein Vorgehen, das für bestimmte Zielgruppen durchaus von Vorteil sein kann.
Compliance
Neben der Sicherheit spielen auch die Erfüllung gesetzlicher Vorschriften und die Nachvollziehbarkeit der durchgeführten Aktionen eine immer größere Rolle. Deswegen müssen WAFs dazu in der Lage sein, umfassende Reports zu produzieren und alle Vorkommnisse, mit denen sie befasst waren, zu loggen. Die Berichte sollten nicht nur über das Konfigurationswerkzeug der jeweiligen Lösung abrufbar sein. Leistungsfähige Produkte schicken ihre Reports nach einer entsprechenden Konfiguration automatisch per E-Mail regelmäßig an die zuständigen Mitarbeiter. Außerdem überwachen und steuern professionelle WAFs wie gesagt den Zugriff auf die Web-Server und sammeln dabei Zugriffs-Logs, die sich wiederum für das Erfüllen von Compliance-Anforderungen und das Auditing nutzen lassen.
Weitere Funktionen
Zusätzlich zu den genannten Features bieten viele WAFs noch weitere Funktionen. Dazu gehören unter anderem Caching, Load Balancing (wie bei der Lösung von F5), Komprimierung und SSL-Beschleunigung. Nicht alle WAFs bringen alle diese Features mit und Kunden sollten sich auch bei diesem Themenbereich im Vorfeld ein Bild über die Angebote machen und sich dann für ein Produkt entscheiden, das ihren Vorstellungen am meisten entspricht. Generell gilt, dass eine WAF, die den Datenstrom zwischen Client und Server untersucht, auch dazu in der Lage dürfte, diesen Datenstrom zu optimieren.
Zu den weiteren Funktionen gehören zudem Datenbanküberwachung, Applikationssicherheitstests und ähnliches. Manche WAFs bringen sogar SIEM-Funktionalitäten mit oder lassen sich in einheitliche Dashboards, wie zum Beispiel FortiSIEM von Fortinet, integrieren.
Wichtige WAF-Anbieter
Kommen wir zum Schluss zu den wichtigsten Anbietern im WAF-Bereich. Gartner stuft in seinem Magic Quadrant für Web Application Firewalls die Unternehmen Amazon Web Services, Ergon Informatik, NSFOCUS, Penta Security Systems, Rohde & Schwarz Cybersecurity und Venustech in seinem aktuellen Magic Quadrant als Nischen-Player ein. Zu den "Challengers" gehören Barracuda Networks, Citrix, Cloudflare und Fortinet. Die "Visionaries" sind Instart Logic, Positive Technologies und Radware. Als "Leader" gelten schließlich Akamai, F5 und Imperva.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45188053)
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883439/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Security-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")