Security

Wozu eine WAF (Web Applikation Firewall)?

Unternehmen aller Größenordnungen stellen ihre Web Anwendungen in das öffentliche Netz zur Verfügung. Das Angebot ist sehr vielfältig. Bei Onlineshops können Produkte bestellt werden, es können Bankgeschäfte (Online Banking) ausgeführt werden und es können Formulare von Unternehmen und Behörden abgerufen werden. Berechtigte Partner greifen über die webbasierten Anwendungen auf interne Datenbanken bzw. Anwendungen zu. Die Webapplikationen sind zu einem beliebten Angriffsfeld von Hackern geworden. Nur eine Schwachstelle reicht aus, um der Gefahr ausgesetzt zu sein über die Web Applikationen an die begehrten Daten zu gelangen und diese zu stehlen.

In den letzten Jahren sind die Angriffe auf Web-Anwendungen immer raffinierter geworden. Jede Web Applikation sollte ankommenden Daten misstrauen. Die Daten können eine Attacke beinhalten, die unberechtigte Zugriffe ermöglichen.

Eine WAF überwacht, filtert und untersucht die Inhalte der Web Protokolle (z.B. http/XML). Angriffe wie SQL Injection, Command Injection, Session Hijacking oder fehlerhafte Programmierung der Web Applikationen führen zum Erfolg. Systeme die aus der Web Applikation erreichbar sind, sind von Attacken ebenfalls betroffen. Herkömmliche Firewall bzw. NGF (Next Generation Firewall) schützen das Netzwerk –  nicht aber die Applikationen. Die Aufgabe einer WAF ist das Erkennen und Blockieren von Angriffen, Schutz vor DDOS Angriffen auf die Anwendungsschicht, Anomalien zu erkennen und zu bewerten sowie Erkennen von Betrugs- und Malware. In einer Whitelist werden Merkmale angelegt, z.B. Personen, Unternehmen und IP Adressen, die als vertrauenswürdig angesehen werden. In einer Blacklist werden gefährliche Merkmale eingetragen. Werden diese Merkmale im Datenstrom entdeckt findet eine Fehlerbehandlung statt. Integrierte Scanner spüren Schwachstellen in den Anwendungen auf und nehmen virtuelle Patches vor, um sie vor einem Angriff zu schützen. Es können eigene Richtlinien erstellt werden, um die Sicherheit zu erhöhen.

Bei den WAF Angeboten haben sich verschiedene Varianten herauskristallisiert:

  • WAF als eigenständiges System, eingebettet in einer Appliance

Die meisten Installationen sind WAF Appliance physisch oder virtuell. Die Hardware wird lokal im eigenen Netzwerk installiert. Die Installation ist in kurzer Zeit realisiert. Die Latenzzeiten sind gering und die Administration ist einfach. Voraussetzung ist, das die WAF mit eigenen Administratoren gemanaged werden kann. Einige ADC (Application Delivery Controller) Anbieter bieten eine WAF als Plugin an. Die WAF ist dann eingebettet im Gehäuse der ADC. Die Funktionalität ist die gleiche wie bei einer dedizierten Appliance. Wenn der Endwender bereits von einem Produktanbieter  eine ADC im Einsatz hat, ist es eine Überlegung wert, die WAF vom gleichen Hersteller einzusetzen.

  • Cloud basierte WAF

Einige Dienstleister bieten eine cloudbasierte WAF Lösung an. Die Pakete werden über die WAF zum Dienstleister geschickt, ggfls. entschlüsselt geprüft und über eine TLS Verbindung (Transport Layer Security) an den Webserver weitergeleitet. Der Vorteil ist, dass kein Installationsaufwand entsteht. Es muss lediglich die DNS Auflösung für die Webdienste geändert werden um die Daten umzuleiten. Der Kunde kann über ein Web Interface seine WAF Umgebung konfigurieren. Durch den Weg über den Dienstleister kann es jedoch zu Latenz Verlusten kommen. Wenn die Daten verschlüsselt an den Webserver weitergeleitet werden sollen, muss dem Dienstleister der eigene TLS Schlüssel zur Verfügung gestellt werden. Im Vorfeld muss wie bei allen anderen Cloud Diensten gewissenhaft geprüft werden, ob die Sicherheit der Daten gewährleistet ist.

  • WAF als Server Plugin

Die WAF ist als Applikation die preiswerteste Lösung und wird im jeweiligen Web Server installiert. Damit ist die höchste Performance gewährleistet und die Skalierbarkeit ist optimal. Das bekannteste WAF Plugin ist ModSecurity – für den Apache Webserver sowie IIS von Microsoft. ModSecurity ist kostenlos. Der Download ist möglich von der Website www.modsecurity.org/download.html  Das Regelwerk  für diese WAF Plugin kann im Abo bezogen werden. Wird jedoch am wenigsten eingesetzt, weil die Installation und Administration je Web Server erfolgen muss und sehr aufwendig ist. Außerdem hat es eine Schwachstelle. Wenn das WAF Modul und der Webserver erfolgreich angegriffen werden, sind gleich beide Systeme betroffen und die Applikationen sind nicht mehr ausreichend geschützt.

Reporting

Die Zugriffe auf die Webanwendungen müssen überwacht und dokumentiert werden. Damit werden auch Informationen gesammelt um die Einhaltung von Compliance Anforderungen zu dokumentieren.  Mit einem Reportingtool müssen jederzeit Auswertungen zur Verfügung stehen. Oft sind vordefinierte Berichte im Lieferumfang enthalten. Die Berichte sollten an kundenspezifische Bedürfnisse angepasst werden können. Mit dem Reportingtool sollten Korrelationen von Profilverletzungen mit anderen verdächtigen Aktivitäten möglich sein. Somit werden Angriffe schneller erkannt.

Eine sorgfältige Planung und Auswahl einer geeigneten WAF ist unerlässlich. Es gibt inzwischen eine Vielzahl von WAF Anbietern; aber nicht alle erfüllen die Voraussetzung für die Absicherung der Web Applicationen. Bereits bei der Planung muss festgelegt werden, welche Funktionen die WAF erfüllen soll. Neben der Produktauswahl ist es ebenso wichtig mit Partnern zusammen zu arbeiten, die bereits mehrere WAF installiert haben und über erstklassig ausgebildete Security Mitarbeiter verfügen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.