Web Application Firewall (WAF) einfach erklärt

28 August 2017
Web Application Firewall (WAF) einfach erklärt

Was ist eine WAF und wie kann man damit Web-Präsenzen vor Hacker-Angriffen schützen? Im heutigen Artikel unserer Serie „IT-Security – einfach erklärt“ gehen wir auf die Funktionsweise, Einsatzmöglichkeiten sowie die Vor- und Nachteile einer Web Application Firewall ein.

Was genau ist eine Web Application Firewall und wie wird sie eingesetzt?

Mit einer Web Application Firewall (WAF), welche auch als Web Shield oder Website Firewall bezeichnet wird, sollen Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP / HTTPS) geschützt werden. Dazu analysiert die WAF den Datenaustausch zwischen Clients und Webservern, wobei alle eingehenden Anfragen und die Antworten des Webservers untersucht werden. Wenn hierbei bestimmte Inhalte als verdächtig erkannt werden, wird der Zugriff durch die WAF unterbunden. Zu diesem Zweck lässt sich die WAF direkt auf dem Webserver als Zusatzsoftware installieren. Eine Web Application Firewall wird aber häufig auch als Hardware basierte Appliance oder als Cloudbasierter Service verwendet.

Wie unterscheidet sich eine WAF von herkömmlichen Firewall Systemen?

Einfache Netzwerk-Firewalls (Stateful Inspection Firewalls) können nur bestimmte TCP oder UDP Ports blockieren oder erlauben, Angriffe auf Schicht 7 – Anwendungsebene (http Protokoll) werden nicht erkannt und können somit auch nicht proaktiv geblockt werden. Darin, dass die Web Application Firewall nun genau hier den Datenverkehr überwacht und Angriffe abwehren kann, liegt ihr entscheidender Vorteil. Im Einzelnen kann eine Web Application Firewall etwa Schutz vor Angriffen auf Layer 7 (Anwendung) durch sogenannte Injection-Angriffe (wie beispielsweise SQL-Injection), Cross Site Scripting (XSS), Session Hijacking und weiteren Web-Angriffen bieten. Häufig wird eine WAF zusammen mit herkömmlichen Firewalls verwendet, wobei die Daten in aufeinander folgenden Schritten untersucht werden. Wenn man also proaktiven Schutz gegen Hacker-Angriffe auf die Website oder Online-Shop erhalten möchte, dann greift man auf eine Website Firewall (WAF). 

Wie wird eine Website Firewall implementiert?

Für die Web Application Firewall gibt es zwei grundlegende Architekturen. Zum einen den zentralisierten Ansatz, bei dem die WAF hinter der Netzwerk-Firewall und vor dem Webserver platziert, und der gesamte Datenverkehr durch sie hindurch geleitet wird (Reverse-Proxy mode). Im zweiten Ansatz ist die WAF Host-basiert und als zusätzliche Software direkt auf dem Webserver installiert. Die zentralisierte Architektur stellt üblicherweise höhere Leistungsansprüche dar, da solche WAFs anders als bei einem dezentralen Konzept meist mehr Anwendungen schützen müssen. 

Ebenso gibt es zwei verschiedene Sicherheitsmodelle nach welchen die Web Application Firewall zu entscheiden vermag, welcher Datenverkehr blockiert und welcher hindurchgelassen werden soll. Im ersten Modell kommt eine Positivliste, auch Whitelist genannt, zum Einsatz. Hierbei wird der gesamte Verkehr blockiert, welcher nicht durch die Positivliste als "gut", beziehungsweise "bekannt" gekennzeichnet ist. Das zweite Sicherheitsmodell basiert auf einer Negativliste (Blacklist), welche umgekehrt den gesamten Datenverkehr freigibt, mit Ausnahme der als schlecht gelisteten Daten. Moderne Web-Application Firewalls werden oft am Anfang im so genannten „Learning-Mode“ betrieben, in diesem Mode greift die WAF nicht aktiv in den Verkehr ein, sondern beobachtet, wie sich die Applikation und die interagierenden Nutzer verhalten um die Abwehrmaßnahmen individualisiert auf die jeweilige Anwendung auszurichten und feinzutunen. Auch Anomalien können so später von der WAF besser und schneller erkannt werden.

Für die Web Application Firewall gibt es verschiedene Einsatzarten, je nach Netzarchitektur. Welche Modi verwendet werden können ist dabei von Produkt zu Produkt unterschiedlich. Am häufigsten werden WAFs im Reverse-Proxy-Modus verwendet. Alle Zugriffe auf die Website gehen durch die WAF in Reverse Proxy Modus durch. Diese Einsatzart bietet viele Zusatzfunktionen, wie z.B. Auslagerung der rechnungsintensiven HTTPS Verschlüsselungsvorgänge zentral auf die WAF um die Ressourcen an den eigentlichen Web-Servern zu sparen. Ein weiterer gängiger Modus ist der Transparent Proxy, bei welchem die Web Application Firewall ebenfalls zwischen Firewall und dem Web-Server platziert ist, jedoch über keine IP-Adresse verfügt. Dieser Modus erfordert keinerlei Änderungen an der bestehenden Netzwerkarchitektur, jedoch sind weniger Zusatzfunktionen als beim Reverse-Proxy-Modus verfügbar.

Welche Vor- und Nachteile bietet eine WAF?

-          Eine Web Applikation Firewall entspricht dem aktuellen Stand der Technik, wenn es um den Schutz von Websites und Online-Shops geht. Somit unterstütz die WAF Betreiber auch bei der Einhaltung der neuen Anforderungen des IT-Sicherheitsgesetzes (§13 Abs. 7 Tmg).

-          Wenn Unternehmen bestimmte Compliance Richtlinien erfüllen müssen wie z.B. PCI-DSS oder ISO27001 etc. ist der Einsatz einer Web Application Firewall oft erforderlich und hilft dem Unternehmen die gestellten Anforderungen zu erfüllen.

-          Mit WAFs lassen sich Anwendungen schützen, welche nicht mehr aktualisiert werden können. Auch besteht die Möglichkeit zum Schutz von verwundbaren Anwendungen anderer Anbieter, solange deren Sicherheit nicht durch ein Update verbessert werden kann. 

 Mögliche Nachteile sind, dass eine WAF die Entwickler dazu verleiten kann Ihre Anwendungen nicht ausreichend selbst zu überprüfen, abzuhärten und die nötigen Updates überhaupt nicht aufzuspielen. Ein Entwickler soll beachten, dass eine WAF sehr wichtig und nützlich ist und ihn vor vielen Angriffen zwar schützt und auch Zeit verschafft um in einem Wartungsfenster die Anwendung nachzupflegen, jedoch wie alle anderen IT-Security Maßnahmen nie eine 100% Sicherheit bietet.

Open Web Application Security Project

OWASP Top 10 und Web Application Firewall

Eine WAF sollte auch den Schutz gegen die 10 häufigsten Sicherheitsrisiken für Webanwendungen bieten, die von Open Web Application Security Project (OWASP) definiert wurden. OWASP ist eine offene Community mit dem Ziel, Unternehmen und Organisationen zu unterstützen, sichere Anwendungen zu entwickeln, zu kaufen und zu warten.

OWASP Top 10 Bedrohungen (Deutsch)

·         A1: Injection

·         A2: Fehler in Authentifizierung und Session-Management

·         A3: Cross-Site Scripting (XSS)

·         A4: Unsichere direkte Objektreferenzen

·         A5: Sicherheitsrelevante Fehlkonfiguration

·         A6: Verlust der Vertraulichkeit sensibler Daten

·         A7: Fehlerhafte Autorisierung auf Anwendungsebene

·         A8: Cross-Site Request Forgery (CSRF)

·         A9: Nutzung von Komponenten mit bekannten Schwachstellen

·         A10: Ungeprüfte Um- und Weiterleitungen

Mehr über OWASP Project und detaillierte Beschreibung der Risiken auf Deutsch finden Sie unter: https://www.owasp.org/images/4/42/OWASP_Top_10_2013_DE_Version_1_0.pdf

Warum sollten gerade Betreiber von Webseiten und Online-Shops den Einsatz einer WAF unbedingt in Betracht ziehen?  

Trotz der möglichen Nachteile erhöht eine Web Application Firewall die Sicherheit von Web-Anwendungen erheblich, insofern sie richtig installiert und konfiguriert ist.

Gemäß den neuen Anforderungen des IT-Sicherheitsgeseztes (§13 Abs. 7 TMG), muss der Betreiber einer Website, diese nach aktuellem Stand der Technik gegen unerlaubte Zugriffe - soweit technisch möglich und wirtschaftlich zumutbar - schützen.

Eine Web Application Firewall schütz Webanwendungen proaktiv gegen Hacker-Angriffe und entspricht dem aktuellen Stand der Technik.

Unternehmen, die Imageschäden und Umsatzverluste vermeiden möchten, sollten in den präventiven Schutz ihrer Online-Präsenzen investieren und diese gegen Internet-Bedrohungen mit einer Website-Firewall absichern.

Mehr Details über NET WÄCHTER Web Application Firewall und weitere Module finden Sie unter: https://netwaechter.de/produkt/


Abonnieren Sie unsere RSS Feed und Newsletter und verpassen Sie keine neuen Artikel und News rund um IT und Web-Security.

 

Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation