In den letzten Jahren sind die Angriffe auf Web-Anwendungen immer raffinierter geworden. Handels- und Industrieunternehmen sowie Forschungsinstitute sind attraktive Ziele, um deren aktuelle Konstruktionspläne oder Forschungsergebnisse zu stehlen, sowie Passwörter auszuspähen. Jede Web-Applikation sollte ankommenden Daten misstrauen, insbesondere wenn sie aus dem Internet kommen. Die Daten können eine Attacke beinhalten, die unberechtigte Zugriffe ermöglicht.
Angriffe wie SQL Injection, Command Injection, Session Hijacking oder fehlerhafte Programmierung der Web-Applikationen führen häufig zum Erfolg. Systeme, die aus der Web-Applikation erreichbar sind, sind von Attacken ebenfalls betroffen. Herkömmliche Firewalls beziehungsweise NGF (Next Generation Firewall) schützen das Netzwerk – nicht aber die Applikationen. Eine WAF überwacht, filtert und untersucht die Inhalte der Web-Protokolle (etwa http, XML). Die Aufgabe einer WAF ist das Erkennen und Blockieren von Angriffen, Schutz vor DDOS-Angriffen auf die Anwendungsschicht, Anomalien zu erkennen und zu bewerten, Erkennen von Betrugs- und Malware. In einer Whitelist werden Merkmale angelegt, etwa Personen, Unternehmen, IP-Adressen, die als vertrauenswürdig angesehen werden. In einer Blacklist werden gefährliche Merkmale eingetragen. Werden diese Merkmale im Datenstrom entdeckt, findet eine Fehlerbehandlung statt. Integrierte Scanner spüren Schwachstellen in den Anwendungen auf und nehmen virtuelle Patches vor, um sie vor einen Angriff zu schützen. Es können eigene Richtlinien erstellt werden, um die Sicherheit zu erhöhen.
Bei den WAF-Angeboten haben sich mehrere Varianten herauskristallisiert:
- WAF als eigenständiges System eingebettet in einer Appliance
Die meisten Installationen sind WAF Appliances, physisch oder virtuell. Die Hardware wird lokal im eigenen Netzwerk installiert. Die Installation ist in kurzer Zeit realisiert. Die Latenzzeiten sind gering. Die Administration ist einfach. Voraussetzung ist, dass die WAF mit eigenen Administratoren gemanaged werden kann. Einige ADC-Anbieter (Application Delivery Controller) bieten eine WAF als Plugin an. Die WAF ist dann eingebettet im Gehäuse der ADC. Die Funktionalität ist die gleiche wie bei einer dedizierten Appliance.
- Cloudbasierte WAF
Einige Dienstleister bieten eine cloudbasierte WAF-Lösung an. Die Pakete werden über die WAF beim Dienstleister geschickt, gegebenenfalls entschlüsselt geprüft und über eine TLS-Verbindung (Transport Layer Security) an den Webserver weitergeleitet. Der Vorteil ist, dass kein Installationsaufwand entsteht, es muss lediglich die DNS-Auflösung für die Webdienste geändert werden, um die Daten umzuleiten. Der Kunde kann über ein Web Interface seine WAF-Umgebung konfigurieren. Durch den Weg über den Dienstleister kann es jedoch zu Performance-Verlusten kommen. Wenn die Daten verschlüsselt an den Webserver weitergeleitet werden sollen, muss dem Dienstleister der eigene TLS-Schlüssel zur Verfügung gestellt werden. Im Vorfeld muss wie bei allen anderen Cloud-Diensten gewissenhaft geprüft werden, ob die Sicherheit der Daten gewährleistet ist.
- WAF als Server Plugin
Die WAF ist als Applikation die preiswerteste Lösung und wird im jeweiligen Web Server installiert. Damit ist die höchste Performance gewährleistet, die Skalierbarkeit ist optimal. Das bekannteste WAF Plugin ist ModSecurity, für den Apache Webserver sowie IIS von Microsoft. ModSecurity ist kostenlos. Das Regelwerk für dieses WAF Plugin kann im Abo bezogen werden. Diese Variante wird jedoch am wenigsten eingesetzt, weil die Administration je Web Server erfolgen muss und sehr aufwändig ist. Außerdem hat es eine Schwachstelle: Wenn das WAF-Modul und der Webserver erfolgreich angegriffen werden, sind gleich beide Systeme betroffen, die Applikationen sind nicht mehr ausreichend geschützt.
Reporting
Die Zugriffe auf die Webanwendungen müssen überwacht und dokumentiert werden. Damit werden auch Informationen gesammelt, um die Einhaltung von Compliance-Anforderungen zu dokumentieren. Mit einem Reporting Tool müssen jederzeit Auswertungen zur Verfügung stehen. Oft sind vordefinierte Berichte im Lieferumfang enthalten. Die Berichte sollten an kundenspezifische Bedürfnisse angepasst werden können. Mit dem Reporting-Tool sollten Korrelationen von Profilverletzungen mit anderen verdächtigen Aktivitäten möglich sein. Somit werden Angriffe schneller erkannt.
Eine sorgfältige Planung und Auswahl einer geeigneten WAF für Ihr Unternehmen ist unerlässlich. Es gibt inzwischen eine Vielzahl von WAF-Anbietern, aber nicht alle erfüllen die Voraussetzung für die Absicherung der Web-Applikationen. Bereits bei der Planung muss festgelegt werden, welche Funktionen die WAF erfüllen muss. Neben der Produktauswahl ist es ebenso wichtig, mit Partnern zusammen zu arbeiten, die bereits mehrere WAF installiert haben und über erstklassig ausgebildete Security Mitarbeiter verfügen.
Bottom Line (ICT-Anwenderunternehmen):
Immer mehr Unternehmen aller Größenordnungen stellen Web-Anwendungen im öffentlichen Netz zur Verfügung. Das Angebot ist sehr vielfältig. Bei Onlineshops können Produkte bestellt werden, es können Bankgeschäfte ausgeführt werden, es können Formulare von Unternehmen und Behörden abgerufen werden. Berechtigte Partner greifen über webbasierte Anwendungen über eine elektronische Schnittstelle auf interne Datenbanken beziehungsweise Anwendungen (etwa ERP) zu. Die Webapplikationen sind mittlerweile zu einem beliebten Angriffsfeld von Hackern geworden. Nur eine Schwachstelle reicht aus, um der Gefahr ausgesetzt zu sein, dass Unberechtigte über die Web-Applikationen an die begehrten Daten gelangen und diese stehlen. Ein umfassender spezieller Schutz wird immer wichtiger, eine WAF ist die Lösung.
Bottom Line (ICT- Anbieterunternehmen):
Die WAF ist zu einem wichtigen unverzichtbaren Schutz der Web-Applikationen geworden. Zahlreiche Unternehmen haben die Gefährdung noch nicht erkannt oder sie wird ignoriert. Aus Experton-Sicht wird die Sensibilität aber wachsen und der Bedarf an der Installation einer WAF wird in den kommenden Jahren deutlich zunehmen. Wichtig ist, dass WAF für Unternehmen aller Größenordnungen angeboten werden, vom Kleinunternehmen bis zum Enterprise-Kunden. Die Lösungen müssen einfach sein in der Installation wie auch der Administrierung. Unterstützungssupport bei der Implementierung mit ausgezeichnet ausgebildeten Mitarbeitern sollte selbstverständlich sein. Bei Erkennen von neuen Bedrohungen muss ein schnelles Update erfolgen.
Die Experton-Group AG ist gern bereit, Sie dabei zu unterstützen. Schreiben Sie bei Interesse bitte an wolfgang.heinhaus@experton-group.com