WAF. Ein Ritter in glänzender Rüstung
Heute setzen wir die Blogreihe fort, die sich verschiedenen Arten von Firewalls widmet. Im ersten Beitrag haben wir grundlegende Kategorien von Firewalls beschrieben, einen Überblick über die Firewall-Modi gegeben und Vorteile sowie potenzielle Nachteile der genannten Typen aufgeführt. In diesem Beitrag werden wir detailliert über Web Application Firewall – WAF sprechen.
Zusammenfassung
Jedes Jahr verlagern immer mehr Organisationen ihre Aktivitäten auf Websites und Webanwendungen und halten ihre Informationen in der Cloud aufrecht, wodurch sie zwangsläufig sensible Daten anspruchsvollen Cyberangriffen aussetzen. Um Anwendungen zu schützen und den regulatorischen Anforderungen gerecht zu werden, implementieren viele Unternehmen Webanwendungs-Firewalls.
WAFs adressieren Bedrohungen, die auf unternehmensspezifische Webanwendungen und Daten abzielen. Sie umfassen Schutztechniken, die speziell für die Websicherheit entwickelt wurden. Traditionell ist WAF das effektivste Werkzeug zum Schutz der internen und öffentlich zugänglichen Anwendungen einer Organisation. Webanwendungen können lokal (vor Ort) oder remote (gehostet, Cloud oder als Dienst) bereitgestellt werden. WAFs zielen darauf ab, Hacking-Versuche zu blockieren, den Zugriff auf Webanwendungen zu überwachen und Protokolle für Compliance, Audit und Analysen zu sammeln.
Was ist WAF?
WAF unterscheidet sich von herkömmlichen Netzwerk-Firewalls, NGFW (Next Generation Firewall) und IPS (Intrusion Prevention System). Es bietet Schutz auf granularer Ebene. Es schützt Webserver und unternehmensspezifische Webanwendungen gegen Angriffe auf Anwendungsebene sowie nicht-Volumetrische Angriffe auf Netzwerkschicht. Es identifiziert und behebt auch „selbst verursachte“ Schwachstellen in eigens entwickelten Anwendungen. Die Anpassung von Regeln an eine bestimmte Anwendung ermöglicht es, viele Angriffe zu identifizieren und zu blockieren. WAFs können XSS (Cross-site Scripting), SQL-Injection, Session-Hijacking, Pufferüberlauf, RFI (Remote File Inclusion) und Cookie Poisoning verhindern.
Sie können auch Schutztechniken gegen DDoS (Distributed Denial of Service) Angriffe beinhalten. Darüber hinaus schützen einige WAFs gegen Verzeichnisüberquerungen, erzwungenes URL-Browsing usw.
Bedrohungsvektoren
Webanwendungen sind anfällig für viele Bedrohungen, die von regulären Netzwerk-Firewalls, NGFWs und IPSs nicht immer erkannt werden. Die häufigsten Angriffe sind wie folgt:
Injection
SQL-Injection-Angriffe werden von böswilligen Benutzern verwendet, um Zugang zu eingeschränkten Daten zu erhalten oder um bösartigen Code auf einem Webserver einzubetten. Diese Technik veranlasst die Backend-Datenbank, die injizierten Befehle auszuführen und unbefugten Benutzern Zugang zu sensiblen Informationen in der Datenbank zu gewähren. Im Falle des Einbetten von bösartigem Code wird der infizierte Webserver Malware an ahnungslose Clients verbreiten.
Cross-site Scripting (XSS)
Cross-site Scripting-Angriffe ermöglichen es einem Übeltäter, sensible Informationen zu erhalten oder einen Webserver zu kompromittieren. Der Angreifer fügt Javascripts in die Seiten einer vertrauenswürdigen Website ein und verändert deren Inhalt. Dann wird die anfällige Website als Mittel verwendet, um ein bösartiges Skript an den Browser des Opfers zu liefern. Der Angreifer nutzt das Vertrauen aus, das ein Benutzer in eine Website hat.
Cross-site request forgery (CSRF)
Cross-site request forgery-Angriffe zwingen Endbenutzer, Informationen zu ändern, die sie nicht beabsichtigt hatten. Es kann das Aktualisieren persönlicher Daten, das Posten von Inhalten oder das Initiieren falscher Transaktionen sein. Ein Angreifer provoziert einen Benutzer, eine bösartige HTTP-Anfrage, einschließlich des Sitzungscookies des Opfers, an eine Zielanwendung oder -website zu senden. Die anfällige Website vertraut darauf ohne die Zustimmung des Benutzers. In diesem Fall nutzt der Angreifer das Vertrauen aus, das eine Website gegenüber dem Browser des Benutzers hat.
Sensible Datenexposition
Wenn eine Webanwendung sensible Daten während des Transports und im Ruhezustand nicht ordnungsgemäß schützt, können Angreifer die Daten stehlen oder manipulieren, um Identitätsdiebstahl, Kreditkartenbetrug oder andere Verbrechen durchzuführen. Diese Art von Schwachstelle bezieht sich auf das Fehlen einer Verschlüsselung sensibler Daten wie Kreditkartennummern, Authentifizierungsdaten, Sozialversicherungsnummern (SSN), Steuer-IDs usw.
Verzeichnisüberquerung
Verzeichnisüberquerungs-Angriffe ermöglichen den Zugriff auf eingeschränkte Dateien und Verzeichnisse und das Ausführen von Befehlen außerhalb des Stammverzeichnisses des Webservers. Ein Angreifer manipuliert eine URL so, dass die Website die eingeschränkten Dateien auf dem Webserver preisgibt.
WAF-Bereitstellung
WAF kann als physische, virtuelle oder Software-Appliance, Server-Plugin oder Cloud-basierter Dienst ausgeführt werden. Derzeit sind Cloud-Dienste hauptsächlich für kleine und mittelständische Unternehmen (KMUs) geeignet, während große Unternehmen eher in speziell entwickelte physische oder virtuelle Appliances investieren.
WAF kann vor einem Webserver oder direkt auf einem Webserver integriert bereitgestellt werden. Meistens wird ein WAF inline als Reverse Proxy bereitgestellt, kann aber auch im Bridge-Modus, Spiegelmodus (außerhalb des Bandes positioniert) oder als transparenter Proxy bereitgestellt werden. Im Falle einer Spiegelmodus-Bereitstellung arbeitet ein WAF an einer Kopie des Netzwerkverkehrs.
Jede WAF-Bereitstellung ist je nach Anwendungsfall unterschiedlich. Es hängt vom primären Ziel der Technologieimplementierung ab – ob sie für virtuelles Patching, HTTP-Auditprotokollierung, Verfolgung sensibler Daten oder Identifizierung von Anwendungsschwachstellen verwendet wird. Für einige WAFs ist ein hybrider Bereitstellungsmodus verfügbar, der eine Inline-Bereitstellung mit der Bereitstellung von Sensoren außerhalb der Linie kombiniert, um Audit-Daten zu sammeln und dann mit einer auf einem bestimmten Webserver installierten Agent-Anwendung zu kommunizieren. Viele WAF-Produkte unterstützen nicht nur einzelne, sondern auch mehrere Webserver-Bereitstellungen.
Wie funktioniert WAF?
Auf Anwendungsebene betrieben, fungiert WAF als flexible Barriere zwischen Endbenutzern und Anwendungen. Es überwacht und filtert sowohl eingehenden als auch ausgehenden HTTP-Datenverkehr und blockiert Aktivitäten, die den konfigurierten Sicherheitsregeln widersprechen. Ein WAF fängt jedes HTML-, HTTPS-, SOAP- und XML-RPC-Datenpaket ab und analysiert es. Die Inspektion des Datenverkehrs auf unbekannte Muster ermöglicht es, neue unbekannte Angriffe zu erkennen und zu blockieren. Auf diese Weise bietet WAF Fähigkeiten, die über die von NGFW und IPS hinausgehen, die nur bekannte Schwachstellen abdecken.
Integration mit anderen Sicherheitstechnologien
WAF integriert sich mit anderen Informationssicherheitstechnologien, wie z. B. Anwendungsschwachstellenscannern, DDoS-Schutz-Appliances, Datenbanksicherheitslösungen, Web-Betrugserkennung, SIEM (Information and Event Management). Die Konsolidierung von WAFs mit anderen Sicherheitstechnologien ermöglicht es, die Erkennungs- und Bedrohungsblockierungsrate für bekannte und neu auftretende Bedrohungen zu maximieren. Feingetunte Anpassung minimiert falsch-positive Ergebnisse und gewährleistet eine genaue Anomalieerkennung. Dies hilft letztlich, Risiken zu mindern und die Angriffsfläche des Unternehmens erheblich zu verkleinern.
WAF-Einschränkungen
Mit allen Vorteilen, die WAF bieten kann, kommen Schwierigkeiten bei der Bereitstellung und der laufenden Softwareverwaltung. Um das erwartete Maß an Anwendungs- und Datensicherheit zu bieten, muss WAF effektiv bereitgestellt und verwaltet werden. Dies umfasst die angemessene Pflege von Firewall-Richtlinien und die Anpassung von Sicherheitsregeln, was wiederum fortgeschrittene Kenntnisse der WAF-Administratoren erfordert.
Es gibt Probleme, die bei der Bereitstellung und Implementierung von WAF Aufmerksamkeit erfordern:
Unwirksame Richtlinien. Firewall-Richtlinien und -Funktionen sollten offensichtlich mit neuen aufkommenden Bedrohungen Schritt halten, was nicht immer der Fall ist. Ein anderes Problem ist der Mangel an Informationen und Dokumentationen darüber, welche Richtlinien wirksam sind, sodass Benutzer zusätzlichen Aufwand und Zeit investieren müssen, um herauszufinden, was funktioniert und wie es verbessert werden kann.
Anpassung von Sicherheitsregeln. Es dauert Zeit, alle notwendigen Regeln zu ermitteln, um Verkehr zu blockieren oder zuzulassen, der durch die Anwendungen fließt. Regeln müssen auch ständig aktualisiert werden, da sich Code ändert und neue Funktionalitäten hinzukommen. Das Blockieren legitimer Anfragen erzeugt falsch-positive Ergebnisse, die dazu führen, dass ein bösartiger Angriff in diesem Pool irrelevanter Warnungen ignoriert wird.
Fähigkeitenlücke. Kunden haben oft Schwierigkeiten, bestehende Geräte am Laufen zu halten, da nicht alle Organisationen über die internen Fähigkeiten verfügen, um eine WAF korrekt und effektiv zu nutzen. Das Auslagern der WAF-Verwaltung ist auch nicht immer die beste Entscheidung. Bei der Wahl einer WAF-Bereitstellung, insbesondere für Compliance-Zwecke, müssen Administratoren kritische Funktionen priorisieren, die am besten für die aktuellen Bedürfnisse der Organisation geeignet sind. Nach dem Bereitstellungs- und Konfigurationsprozess erfordert die WAF ein hohes technisches Fachwissen des Teams, um effizient zu funktionieren und einen nachhaltigen Wert zum Sicherheitssystem des Unternehmens hinzuzufügen.
Verlagerung von Operationen in die Cloud. Da immer mehr Unternehmen ihre Anwendungen und Daten in öffentliche Cloud-Infrastrukturen verlagern, müssen sie zwangsläufig die Web Application Firewall und die damit verbundenen Richtlinien in diese neue und grundsätzlich andere Architektur migrieren. Das Problem ist, dass nicht alle Anbieter eine nachhaltige Alternative zur On-Premise-Appliance bieten oder die APIs bereitstellen können, die eine Organisation benötigt, um das Bereitstellungsszenario in der dynamischen Cloud-Umgebung zu realisieren.
Fazit
Webanwendungs-Firewalls sind ein übliches Sicherheitswerkzeug, das von Unternehmen verwendet wird, um Webanwendungen gegen böswillige Exploits, Identitätswechsel, bekannte Schwachstellen und neue aufkommende Bedrohungen zu schützen sowie selbst verursachte Schwachstellen eigens entwickelter Anwendungen zu identifizieren. Es hilft auch, Compliance-Anforderungen zu erfüllen. Und obwohl diese Technologie für Unternehmen, die ihre Webressourcen sichern wollen, definitiv ein Muss ist, reicht sie nicht aus, wenn es um Datenbanksicherheit geht.
In unseren kommenden Beiträgen werden wir über Database Access Firewall sprechen und warum Web Application Firewall allein nicht in der Lage ist, Datenbanken vollständig zu sichern.
Lesen Sie die gesamte Firewall-Serie:
- Fifty Shades of Firewall
- WAF. Ein Ritter in glänzender Rüstung
- DAF. Rette die Datenbank vor dem Drachen
- WAF + DAF = Glücklich bis ans Ende