Websites und Business-Applikationen schützen - Teil 2

Web Application Firewalls als Schutzwall für Web Services

14.04.2010 | Autor / Redakteur: Andreas Küchler und Detlev Spierling / Peter Schmitz

Über Angriffe auf Webservices erlangen Hacker auch Zugriff auf sensible Kernbereiche des Firmennetzwerks. Web Application Firewalls sollen davor schützen.
Über Angriffe auf Webservices erlangen Hacker auch Zugriff auf sensible Kernbereiche des Firmennetzwerks. Web Application Firewalls sollen davor schützen.

Web Application Firewalls bieten Schutz gegen alle heute gängigen Angriffe auf Web-Anwendungen, wie SQL-Injections, Skripting-Angriffe, Session-Verfälschungen und Buffer-Overflow-Attacken (Speicherüberlauf). Unternehmen können damit ihre Webserver umfassend gegen digitale Attacken auf der Applikationsebene schützen und so Sabotage oder den Verlust geschäftskritischer oder vertraulicher, personenbezogener Daten wirksam verhindern.

DoS (Denial of Service)- und Cross-Site-Scripting-Attacken, SQL-Injections, Session Manipulationen und Buffer Overflows (Puffer-Überläufe) zielen direkt auf die Business-Logik von Web-Applikationen und durchlöchern bzw. umgehen damit die klassische Unternehmens-Firewall. Dabei attackieren Angreifer eine Anwendung auf der höhereren Ebene 7 des Netzwerkprotokollstacks (nach dem ISO/OSI-Schichtenmodell) und „kommunizieren“ direkt mit den Prozessen einer Applikation. Davon sind nicht nur Online-Shops und Webseiten selbst betroffen, sondern auch die immer weiter verbreiteten „Web Services“ – eine Schlüsseltechnologie für die Integration verteilter Anwendungen.

Web Services sind Softwarebausteine, die auf unterschiedlichen Netzwerkrechnern laufende Programme über das Internet zu einer Anwendung miteinander verknüpfen, wodurch ganze Softwaresysteme Daten austauschen sowie Funktionen auf entfernten Rechnern aufrufen können. Web Services sind über verschiedene Plattformen hinweg interoperabel und werden beispielsweise für die Interaktion zwischen Fluggesellschaften und Reisebüros genutzt. Web Services und ihre Anwendung haben sich inzwischen in der Industrie einen festen Platz zur Lösung verschiedener Integrationsprobleme erobert.

Die neuen Angriffsmethoden gegen Web-Applikationen oder –Services, bei denen Angreifer den Datenverkehr oder das Remote Login für ihre Attaken nutzen, machen spezielle Sicherheitskomponenten erforderlich, die die jeweilige Anwendung individuell und gezielt schützen. Die WAF-Technologie (Web Application Firewall) ist eine solche Sicherheitskomponente, die Webserver gezielt vor Angriffen über das http-Protokoll absichern.

Mit Web Application Firewalls (WAF) können diese spezifischen Angriffe auf Webanwendungen erkannt werden, die herkömmliche Firewalls und Intrusion Detection Systeme nicht erkennen können. Eine zwischen dem Webclient und dem Webserver installierte WAF bietet damit einen signifikant verbesserten Schutz gegen immer ausgefeiltere Webangriffe. Sie untersucht den Datenstrom auf der Anwendungsebene, den ein Web-Browser an die Webanwendung sendet und verhindert, dass unerwünschte Daten überhaupt übertragen werden, indem sie die Angriffe blockt.

Seite 2: Web Application Firewalls unter der Lupe

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2044338 / Mobile- und Web-Apps)