Im Test: Airlock Web Application Firewall 7.0 Schutz für Web-Anwendungen
Die Airlock Web Application Firewall von Ergon Informatik ist eine Lösung zum Absichern von Web-Anwendungen. Sie arbeitet als Reverse Proxy und terminiert HTTP(S)-Verbindungen. Die Steuerung erfolgt über ein zentrales Management-Interface und das Produkt bietet damit einen zentralen Punkt, um Policies für den Anwendungszugriff umzusetzen. Außerdem bringt sie eine große Zahl an Filterfunktionen mit, unter anderem ICAP Content-Filtering, sowie SOAP/XML-, AMF- und JSON-Filter.
Anbieter zum Thema

Eines der Highlights der Airlock WAF 7 ist die API-Sicherheit mit dem Schutz von SOAP- und REST-Webservices. Dazu kommen Funktionen zum Policy Learning und zum dynamischen White Listing sowie Smart Form Protection, Cookie Protection und URL-Verschlüsselung. Auch für die Integration in bestehende Sicherheitsinfrastrukturen stehen eine Vielzahl an Funktionen bereit: So lassen sich beispielsweise Malware-Scanner von Drittanbietern via ICAP integrieren, HSM-Geräte einbinden oder auch WAF-Meldungen an SIEM-Installationen schicken. Load-Balancing- und Failover-Features gehören ebenfalls zum Leistungsumfang. Für Unternehmen, die ihre WAF in Hardware-Form implementieren möchten, stellt Ergon Informatik zudem eine Appliance zur Verfügung. Im Betrieb arbeitet die WAF zwischen der regulären Unternehmens-Firewall und den Anwendungen. Deswegen sollte sie in Produktivumgebungen über zwei Interfaces verfügen, um den Datenverkehr nach außen und innen sauber zu trennen. In Testumgebungen ist das nicht zwingend erforderlich.
Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinktenPDF-Dokument.
Der Test
Im Test installierten wir die Airlock WAF in unserem Testlabor und sicherten damit den Zugriff auf das Web Interface der bei uns im Testlab verwendeten Network Monitoring-Lösung PRTG von Paessler. Zusätzlich nutzten wir eine vom Hersteller bereitgestellte Testumgebung mit einem Book-Shop als abzusichernde Applikation, um die Funktionalität der WAF im Detail unter die Lupe zu nehmen.
Wichtige Funktionen
Gehen wir an dieser Stelle einmal kurz etwas genauer auf die wichtigsten Features des Produkts ein. In diesem Zusammenhang ist zunächst einmal der Schutz gegen Injection-Angriffe wie SQL-Injection oder XSS Schutz sowie gegen Forceful Browsing-Angriffe zu nennen. Forceful Browsing bedeutet, dass ein Angreifer versucht, Zugriff auf geschützte Seiten oder sensitive Informationen zu erhalten, indem er ihre URL direkt in die Adressleiste seines Browsers eingibt. Bei ungeschützten Systemen besteht die Möglichkeit, auf diese Weise etwa Zugriff auf Inhalte zu erhalten, die normalerweise erst nach einer Authentifizierung zur Verfügung stehen, oder detaillierte Informationen über die Konfiguration des betroffenen Web Servers in Erfahrung zu bringen. Um Forceful Browsing zu unterbinden, bietet die Airlock WAF eine Funktion zur URL-Verschlüsselung. Die verschlüsselten URLs sind dann im Betrieb nur während der laufenden Session gültig. Auf dieses Feature gehen wir später im Rahmen eines Use Cases noch genauer ein.
Die Smart Form Protection sichert im Gegensatz dazu die Formulare der Web-Applikationen zur Laufzeit gegen Manipulationsversuche. Dazu stellt die WAF sicher, dass die Benutzereingaben den Vorgaben der Originalform der Anwendung entsprechen. Das verhindert zum Beispiel, dass ein Angreifer bei einem Eingabeformular, das vier Angaben erwartet, mit Hilfe von Manipulationen noch einen fünften Parameter übergibt. Außerdem schützt das genannte Feature vor Manipulationen der vorgegebenen Werte. Auch hierauf gehen wir später noch mit einem Use Case ein.
DyVE
Bei DyVE (Dynamic Value Endorsement) handelt es sich um eine Funktion, die JSON-Objekte, die von Backends ausgeliefert werden, dynamisch nach Werten durchsucht, die für die aktuelle User Session erlaubt sind. Die Parameter oder JSON-Attribute von nachfolgenden Requests (wie etwa REST API-Aufrufen) lassen sich dann auf die Verwendung zulässiger Werte überprüfen. DyVE kann so unter anderem verhindern, dass ein Angreifer in einer Übertragung eine Kontonummer ändert, um beim Online Banking zu manipulieren.
Policy Learning
Wird die Policy Learning-Funktion aktiviert, so untersucht die WAF den Datenverkehr, analysiert ihn und zeigt dann an, was genau von wo nach wo übertragen wurde. Außerdem macht sie Vorschläge, welche Regeln implementiert werden sollten, um das Sicherheitsniveau zu erhöhen. Diese können die Administratoren dann akzeptieren, modifizieren oder verwerfen. Diese Funktion lässt sich gut nutzen, um die Konfiguration im Detail an die jeweiligen Anforderungen anzupassen.
Die Arbeit mit Labeln
In der Praxis dürften die meisten Unternehmen in ihrer Konfiguration eine große Zahl der genannten Mappings – in manchen Umgebungen können das über 500 sein – verwenden, die die Datenübertragungen zwischen den virtuellen Hosts und den zu sichernden Anwendungen regeln. Um eine Übersicht über diese Mappings zu erhalten und die Konfiguration der Einträge zu erleichtern, haben die IT-Mitarbeiter die Option, sie mit Labeln zu versehen. So gibt es zum Beispiel die Möglichkeit, einen Eintrag zu Exchange oder SharePoint mit "Microsoft" zu labeln oder auch einen Eintrag zu Exchange 2016 mit "Testumgebung" und einen Eintrag zu Exchange 2013 mit "Produktivumgebung". Gibt der Administrator dann den Label in der Suchzeile der Übersicht an, so zeigt ihm das System nur die dazugehörigen Mappings. Da sich die Label beliebig kombinieren lassen, steht den IT-Verantwortlichen mit ihnen ein sehr leistungsfähiges Feature zur Verfügung, das die Konfiguration sehr übersichtlich macht.
Möchte ein IT-Mitarbeiter zum Beispiel das Sicherheitsniveau für alle Microsoft-Anwendungen im Unternehmen ändern, so muss er lediglich den Microsoft-Label im Suchfeld eingeben und dann für alle Einträge auf einmal den Security Level modifizieren. Diese Funktion ließ sich im Test ohne Schwierigkeiten nutzen.
Überwachung
Was das Reporting und Logging angeht, so beherrscht die Airlock WAF wie angesprochen nicht nur die Weitergabe von Informationen an SIEM-Lösungen (mit den Log Formaten JSON und CEF), sondern bietet auch einen Log Viewer mit Filtern, dynamischer Darstellung relevanter Daten und vordefinierten Suchen. Dazu kommen diverse Dashboards und die Möglichkeit, eigene Auswertungen durchzuführen. Innerhalb des Log Viewers lassen sich darüber hinaus Drill Down-Vorgänge bis zu den eigentlichen Log-Einträgen hinunter realisieren.
Die Airlock WAF in der Praxis
Für unsere nächsten Testschritte verwendeten wir die bereits angesprochene Demo-Umgebung mit dem Book-Store. Dieser nannte sich "BuggyBook" und verfügte, wie der Name es vermuten lässt, über eine große Zahl unterschiedlicher Sicherheitslücken. Zu Beginn wollten wir die Form Protection-Funktion unter die Lupe nehmen. Dazu loggten wir uns als Benutzer bei dem ungeschützten Book-Store ein und kauften ein Buch. Dadurch entstand auf dem Konto, das zu unserem Account gehörte, ein Minus. Um dieses Minus auszugleichen, wechselten wir anschließend in unsere Kontoverwaltung und gaben unter „Voucher“ einen Gutscheincode ein, der in dem Book Store 50 Euro wert war. Daraufhin zeigte uns die Online-Applikation eine Bestätigungsseite an, die uns den Betrag präsentierte, den der Voucher gutschreiben würde und es uns ermöglichte, diesen Betrag durch das Klicken auf „Confirm“ unserem Konto zu verbuchen. Das funktionierte einwandfrei.
Im nächsten Schritt wiederholten wir diese Vorgehensweise nochmals, klickten aber bei der Bestätigungsseite nicht auf „Confirm“, sondern riefen stattdessen die Entwicklungstools unseres Browsers auf und suchten im Quellcode nach dem Value-Eintrag, der die Höhe des gutzuschreibenden Betrags festlegte. Diesen änderten wir mit Hilfe der Entwicklungstools von 50 Euro auf 5000 Euro und klickten erst dann auf „Confirm“. Daraufhin übergab der Browser diesen Wert an die Applikation. Da diese über keinen Schutzmechanismus verfügte, um den bestätigten Wert mit dem ursprünglichen Wert des Gutscheins abzugleichen, schrieb sie uns anschließend problemlos 5000 Euro auf unserem Konto gut. Die Test-Anwendung „BuggyBook“ benötigte also dringend die von der WAF bereitgestellten Sicherheitsfunktionen.
Um die eben demonstrierte Sicherheitslücke zu stopfen, ohne die Buch-Anwendung zu modifizieren, aktivierten wir in der WAF die Form Protection, die ja genau solche Aktionen unterbinden soll. Als wir nun unseren Betrugsversuch mit aktivem WAF-Schutz wiederholten, blockte die WAF die Übergabe des falschen Parameters und trug den Vorgang in ihre Log-Files ein.
Im nächsten Use Case nahmen wir uns die Schutzfunktion vor Cross Site Scripting vor. Dazu schickten wir von unserem Book Shop-Benutzerkonto mit der shop-internen Message-Funktion eine Nachricht an einen anderen Benutzer. Bei dieser Nachricht fügten wir im Betreff ein Skript ein, das die Session Cookie-Informationen dieses Users auslesen sollte. Als wir uns nun als den anderen Benutzer anmeldeten und die Nachricht abriefen, öffnete sich ein Popup mit den Session-Infos des Anwenders. Mit Hilfe von Skripts lassen sich in der Praxis auf einem so unsicheren System eine Vielzahl von Angriffen realisieren.
Skripting-Angriffe wehrt die WAF über ihre Deny Rules ab. Im nächsten Schritt aktivierten wir folglich eine Deny Rule-Konfiguration, die verdächtige Muster in den Datenübertragungen erkannte. Konkret untersuchte diese Konfiguration die übermittelten Felder und die darin enthaltenen Parameter. Erkennt eine Deny Rule ein Muster, beispielsweise JavaScript, so blockiert sie unverzüglich den Request. Das funktioniert übrigens auch in JSON-Strukturen. Nachdem unsere neue Konfiguration aktiv war, wiederholten wir unseren eben beschriebenen Angriff. Daraufhin blockte die WAF den Request und nahm ihre Aktion in die Log-Dateien auf.
Jetzt versuchten wir, über den Browser einen Forceful Browsing-Angriff durchzuführen. Dazu gaben wir die URL „https://{IP-Adresse des Servers}/{Bookstore}/help/index.html?page=../../WEB-INF/web.xml;“ ein. Daraufhin präsentierte uns der Browser diverse Informationen über die Konfiguration des Systems, die wir als Hacker für weitere Angriffsversuche nutzen könnten.
Diese Angriffe lassen sich über die URL-Verschlüsselungsfunktion der WAF unterbinden, die die Ziel-URLs auf Session-Ebene verschlüsselt und so sicherstellt, dass niemand direkt auf bestimmte Ziele auf dem Server zugreifen kann. Nachdem wir dieses Feature aktiviert hatten, lenkte das System unseren Zugriffsversuch einfach auf die Homepage des Webshops um, so dass kein Schaden entstand.
Fazit
Die Airlock WAF konnte im Test durch ihren großen Funktionsumfang überzeugen. Sie sorgt bei richtiger Konfiguration dafür, dass alles, was bei der zu sichernden Anwendung ankommt, bereits gefiltert und von potentiellen Bedrohungen gereinigt ist. Die geschützten Applikationen bekommen auf diese Weise Hacker-Angriffe überhaupt nicht mit.
Trotz des großen Funktionsumfangs wurde das Management-Interface verhältnismäßig übersichtlich gestaltet, so dass Sicherheitsadministratoren schnell dazu in der Lage sein sollten, mit der Lösung zu arbeiten. Besonders positiv fielen uns im Test das umfangreiche Reporting und Logging, die API-Sicherheit, die Smart Form Protection und die URL-Verschlüsselung auf.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
Anmerkung: Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.
Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im unten verlinkten PDF-Dokument.
Artikelfiles und Artikellinks
(ID:45286357)