Umfassender Schutz für Web-Anwendungen

Grundlagen der Web Application Firewalls

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

WAFs arbeiten vor den zu schützenden Web-Anwendungen (also zwischen Client und Server) und analysieren den Datenverkehr in beide Richtungen.
WAFs arbeiten vor den zu schützenden Web-Anwendungen (also zwischen Client und Server) und analysieren den Datenverkehr in beide Richtungen. (© mrhighsky - stock.adobe.com)

Eine Web Application Firewall (WAF) überwacht und schützt Webanwendungen, die über das HTTP-Protokoll arbeiten. Eine WAF arbeitet regelbasiert, um Angriffsarten wie zum Beispiel Cross Site Scripting (XSS), Angriffe oder SSL-Injections abzuwehren oder aktuelle Applikationen vor neu entdeckten Sicherheitslücken mittels virtueller Patches zu schützen.

Im Betrieb unterscheidet sich eine Web Application-Firewall (WAF) von einer normalen Firewall dadurch, dass sie die Inhalte der von ihr abgesicherten Anwendungen auf Applikationsebene im Auge behält und nicht den gesamten Web-Verkehr über Absender- und Zieladressen sowie Ports absichert. Web Application-Firewalls sind als Appliances (wie SecureSphere von Imperva), als Server Plugins und auch als Filter erhältlich. Oft arbeiten sie auch innerhalb anderer Sicherheitslösungen, sowohl auf speziellen Sicherheits-Appliances als auch auf Servern, die unter einem Standard-Betriebssystem wie Linux oder Windows laufen. Auch virtuelle Appliances eignen sich für den Einsatz von WAFs, so ist zum Beispiel Radwares AppWall als solches Produkt erhältlich. In den letzten Jahren sind auch noch diverse andere WAF-Implementierungen auf den Markt gekommen. Dazu gehören gehostete und Cloud-basierte WAFs – beispielsweise von Akamai oder Barracuda – genauso wie WAFs, die als Dienstleistungen angeboten werden, wie Impervas Incapsula.

Viele Unternehmen setzen WAFs ein, die ihre proprietären Anwendungen absichern. Da WAFs immer bestimmte Anwendungen schützen, müssen sie stets genau an diese angepasst werden, nicht nur bei der Implementierung, sondern auch, wenn die betroffenen Anwendungen irgendwelche Änderungen erfahren. Im Betrieb schützen die WAFs die Server der jeweiligen Organisation vor Bedrohungen wie gesagt dadurch, dass sie die Kommunikation auf der Anwendungsebene untersuchen. Dabei sind sie von den zu schützenden Anwendungen unabhängig. Die meisten WAFs eignen sich nicht nur für die Arbeit mit einer Applikation, sondern können gleichzeitig mehrere Anwendungen absichern. Dabei sorgen sie für Schutz gegen unterschiedliche Bedrohungen. Dazu gehören auch bekannte Sicherheitslücken in den Anwendungen. WAFs unterbinden Angriffe auf diese, ohne dass es dazu erforderlich ist, die Applikationen selbst zu patchen, was vor allem beim Einsatz von Legacy-Anwendungen eine große Rolle spielt. Das gleiche gilt für das Schützen aktueller Applikationen vor neu entdeckten Sicherheitslücken. Wird eine solche Sicherheitslücke bekannt, für die noch kein Patch existiert, so haben die Administratoren Gelegenheit, die Regeln ihrer WAF so anzupassen, dass Angriffe auf die genannte Vulnerability unmöglich werden. Das bezeichnet man auch als "virtuellen Patch". Besonders leistungsfähige WAFs bringen sogar automatisch virtuelle Patches in Position.

Funktionsweise

WAFs arbeiten in der Praxis vor den zu schützenden Web-Anwendungen (also zwischen Client und Server) und analysieren den Datenverkehr dieser Applikationen in beide Richtungen. Das heißt, sie untersuchen sowohl die Anfragen der Clients, als auch die Antworten der Server innerhalb der Benutzer-Sessions. Dabei erkennen sie idealerweise sämtliche potentiell gefährlichen Daten und blocken sie. Da die Datenanalysen in Echtzeit erfolgen, müssen die WAFs über eine Hardware mit ausreichender Leistung verfügen, um effektiv zu sein. Die NetScaler WAFs von Citrix beispielsweise sind sehr performant. WAFs stellen übrigens keine Stand-Alone-Sicherheitslösungen dar, sondern kommen normalerweise in Kombination mit anderen Produkten, wie Firewalls und Intrusion Prevention-Systemen (IPS) zum Einsatz.

Neben Regeln setzen WAFs oftmals auch Signaturen und Parsing - also Analysen der Inhalte – ein, um Sicherheitsprobleme aufzudecken. Innerhalb der Netze finden sie entweder als Transparent Bridge, als Transparent Reverse Proxy oder als Reverse Proxy Verwendung. Transparent bedeutet in diesem Zusammenhang, dass der Datenverkehr direkt an die Anwendung geschickt wird, die WAF ist also weder für den Client, noch für den Server sichtbar. Bei einer Reverse Proxy-Konfiguration gehen die Daten im Gegensatz dazu erst einmal an die WAF, die sie dann an den Server weiterleitet.

Im täglichen Einsatz haben die Administratoren in der Regel sehr umfassende Optionen, um ihre Anwendungen mit einer WAF sicherer zu machen. Stellt die Applikation beispielsweise ein Formular zur Verfügung, das vier Eingaben erwartet, so lässt sich die WAF so konfigurieren, dass sie alle Datenübertragungen unterbindet, die fünf oder mehr Parameter umfassen. Alternativ besteht auch die Möglichkeit, die übertragenen Inhalte auf ihre Richtigkeit im jeweiligen Kontext hin zu überprüfen oder sicher zu stellen, dass die Eingaben die richtige Länge haben. Auf diese Art und Weise lassen sich viele Angriffe unterbinden oder zumindest erschweren.

Neben den Protokollen HTTP und HTTPS überwachen viele WAFs auch XML-RPC und SOAP. Manche WAFs sind übrigens dazu in der Lage, den von ihnen analysierten Datenverkehr zu nutzen, um zu lernen, ungewöhnliche Muster zu erkennen und die Anwendungen so gegen bisher unbekannte Angriffsmuster abzusichern. Auch die Zugriffskontrolle spielt bei vielen WAFs eine wichtige Rolle, die Lösungen von Ergon Informatik und F5 bringen in diesem Bereich zum Beispiel viele Funktionalitäten mit.

Sicherheitskonfiguration

Generell gilt, dass WAFs mit zwei unterschiedlichen Sicherheitsmodellen zum Einsatz kommen können. Das Whitelisting blockiert jeden Datenverkehr, außer dem, den die IT-Mitarbeiter ausdrücklich zulassen. Das Blacklisting lässt hingegen alle Daten durch, die die Administratoren nicht ausdrücklich verboten haben. Einige Produkte setzen auch eine Kombination der beiden Optionen ein.

In der Praxis erfordert Whitelisting einen deutlich höheren Konfigurationsaufwand als Blacklisting und ist auch empfindlicher, wenn die zu sichernde Anwendung irgendwie geändert wird, da das in der Regel auch zu Modifikationen in der Übertragung führt. Generell ist Whitelisting deswegen für viele Anwendungsbereiche nicht sinnvoll, auch wenn es in Sonderfällen durchaus Vorteile mit sich bringen kann, da es im Prinzip das Sicherheitsniveau verbessert.

Auch beim Blacklisting ist es aber schwierig, eine Liste aller möglichen bösartigen Datenübertragungen zu erzeugen und auf dem aktuellen Stand zu halten. Deswegen sind die eben genannten automatischen Lernverfahren, die es einer WAF ermöglichen, selbstständig guten von schlechtem Verkehr zu unterscheiden, von großer Bedeutung.

WAF-Typen und Management

Neben den WAFs, die zwischen dem zu sichernden Server und den Clients zum Einsatz kommen, gibt es – wie angesprochen – auch WAFs, die direkt auf den Servern laufen, die sie schützen sollen. Beispielsweise als Plugins für den Webserver oder als zusätzliche Software. Das spart die Installation einer dedizierten Hardware. Allgemein muss man aber in diesem Zusammenhang berücksichtigen, dass die Leistung dedizierter Geräte normalerweise höher ist, als die von Host-basierten Lösungen.

Ein weiterer Unterschied liegt im Management. Während eine dedizierte WAF üblicherweise dazu in der Lage ist, mehrere Anwendungen im Netz zu sichern und dabei über eine zentrale Verwaltungskonsole administriert wird, schützen die Host-basierten Systeme in der Regel nur die Applikation, die auf dem jeweiligen Server läuft. Damit die Administratoren in solch einem Szenario nicht gezwungen sind, mit einer Vielzahl unterschiedlicher Konfigurationswerkzeuge zu arbeiten, stehen für viele Host-basierte WAFs aber ebenfalls zentrale Management-Konsolen zur Verfügung, die mehrere Installationen steuern können.

Cloud-basierte WAFs und WAFs auf SaaS-Basis leiden in der Praxis oft darunter, dass für sie keine zentrale Management-Konsole erhältlich ist, über die die Anwender – also die Kundenunternehmen, nicht die Dienstleister – jederzeit auf die Systeme zugreifen können. Hier gilt es folglich im Vorfeld zu klären, welche Bedeutung dieser Punkt hat und sich dann für ein entsprechendes Produkt zu entscheiden.

In Bezug auf das Management ist noch die DenyAll WAF von Rohde und Schwarz Cybersecurity zu nennen. Diese verfolgt nämlich bei der Konfiguration einen besonderen Ansatz. Die Verkehrssteuerung und -analyse wird über grafische Workflows abgewickelt. Im Betrieb fügen die Administratoren über Drag-and-Drop Steuerungsfunktionen und andere Aktionen in das Workflow-Diagramm ein, ein Vorgehen, das für bestimmte Zielgruppen durchaus von Vorteil sein kann.

Compliance

Neben der Sicherheit spielen auch die Erfüllung gesetzlicher Vorschriften und die Nachvollziehbarkeit der durchgeführten Aktionen eine immer größere Rolle. Deswegen müssen WAFs dazu in der Lage sein, umfassende Reports zu produzieren und alle Vorkommnisse, mit denen sie befasst waren, zu loggen. Die Berichte sollten nicht nur über das Konfigurationswerkzeug der jeweiligen Lösung abrufbar sein. Leistungsfähige Produkte schicken ihre Reports nach einer entsprechenden Konfiguration automatisch per E-Mail regelmäßig an die zuständigen Mitarbeiter. Außerdem überwachen und steuern professionelle WAFs wie gesagt den Zugriff auf die Web-Server und sammeln dabei Zugriffs-Logs, die sich wiederum für das Erfüllen von Compliance-Anforderungen und das Auditing nutzen lassen.

Weitere Funktionen

Zusätzlich zu den genannten Features bieten viele WAFs noch weitere Funktionen. Dazu gehören unter anderem Caching, Load Balancing (wie bei der Lösung von F5), Komprimierung und SSL-Beschleunigung. Nicht alle WAFs bringen alle diese Features mit und Kunden sollten sich auch bei diesem Themenbereich im Vorfeld ein Bild über die Angebote machen und sich dann für ein Produkt entscheiden, das ihren Vorstellungen am meisten entspricht. Generell gilt, dass eine WAF, die den Datenstrom zwischen Client und Server untersucht, auch dazu in der Lage dürfte, diesen Datenstrom zu optimieren.

Zu den weiteren Funktionen gehören zudem Datenbanküberwachung, Applikationssicherheitstests und ähnliches. Manche WAFs bringen sogar SIEM-Funktionalitäten mit oder lassen sich in einheitliche Dashboards, wie zum Beispiel FortiSIEM von Fortinet, integrieren.

Wichtige WAF-Anbieter

Kommen wir zum Schluss zu den wichtigsten Anbietern im WAF-Bereich. Gartner stuft in seinem Magic Quadrant für Web Application Firewalls die Unternehmen Amazon Web Services, Ergon Informatik, NSFOCUS, Penta Security Systems, Rohde & Schwarz Cybersecurity und Venustech in seinem aktuellen Magic Quadrant als Nischen-Player ein. Zu den "Challengers" gehören Barracuda Networks, Citrix, Cloudflare und Fortinet. Die "Visionaries" sind Instart Logic, Positive Technologies und Radware. Als "Leader" gelten schließlich Akamai, F5 und Imperva.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45188053 / Firewalls)