DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

WAF. Ein Ritter in glänzender Rüstung

WAF. Ein Ritter in glänzender Rüstung

Heute setzen wir die Blogreihe fort, die sich verschiedenen Arten von Firewalls widmet. Im ersten Beitrag haben wir grundlegende Kategorien von Firewalls beschrieben, einen Überblick über die Firewall-Modi gegeben und Vorteile sowie potenzielle Nachteile der genannten Typen aufgeführt. In diesem Beitrag werden wir detailliert über Web Application Firewall – WAF sprechen.

Zusammenfassung

Jedes Jahr verlagern immer mehr Organisationen ihre Aktivitäten auf Websites und Webanwendungen und halten ihre Informationen in der Cloud aufrecht, wodurch sie zwangsläufig sensible Daten anspruchsvollen Cyberangriffen aussetzen. Um Anwendungen zu schützen und den regulatorischen Anforderungen gerecht zu werden, implementieren viele Unternehmen Webanwendungs-Firewalls.

WAFs adressieren Bedrohungen, die auf unternehmensspezifische Webanwendungen und Daten abzielen. Sie umfassen Schutztechniken, die speziell für die Websicherheit entwickelt wurden. Traditionell ist WAF das effektivste Werkzeug zum Schutz der internen und öffentlich zugänglichen Anwendungen einer Organisation. Webanwendungen können lokal (vor Ort) oder remote (gehostet, Cloud oder als Dienst) bereitgestellt werden. WAFs zielen darauf ab, Hacking-Versuche zu blockieren, den Zugriff auf Webanwendungen zu überwachen und Protokolle für Compliance, Audit und Analysen zu sammeln.

 

Was ist WAF?

WAF unterscheidet sich von herkömmlichen Netzwerk-Firewalls, NGFW (Next Generation Firewall) und IPS (Intrusion Prevention System). Es bietet Schutz auf granularer Ebene. Es schützt Webserver und unternehmensspezifische Webanwendungen gegen Angriffe auf Anwendungsebene sowie nicht-Volumetrische Angriffe auf Netzwerkschicht. Es identifiziert und behebt auch „selbst verursachte“ Schwachstellen in eigens entwickelten Anwendungen. Die Anpassung von Regeln an eine bestimmte Anwendung ermöglicht es, viele Angriffe zu identifizieren und zu blockieren. WAFs können XSS (Cross-site Scripting), SQL-Injection, Session-Hijacking, Pufferüberlauf, RFI (Remote File Inclusion) und Cookie Poisoning verhindern.

Sie können auch Schutztechniken gegen DDoS (Distributed Denial of Service) Angriffe beinhalten. Darüber hinaus schützen einige WAFs gegen Verzeichnisüberquerungen, erzwungenes URL-Browsing usw.

Bedrohungsvektoren

Webanwendungen sind anfällig für viele Bedrohungen, die von regulären Netzwerk-Firewalls, NGFWs und IPSs nicht immer erkannt werden. Die häufigsten Angriffe sind wie folgt:

Injection

SQL-Injection-Angriffe werden von böswilligen Benutzern verwendet, um Zugang zu eingeschränkten Daten zu erhalten oder um bösartigen Code auf einem Webserver einzubetten. Diese Technik veranlasst die Backend-Datenbank, die injizierten Befehle auszuführen und unbefugten Benutzern Zugang zu sensiblen Informationen in der Datenbank zu gewähren. Im Falle des Einbetten von bösartigem Code wird der infizierte Webserver Malware an ahnungslose Clients verbreiten.

Cross-site Scripting (XSS)

Cross-site Scripting-Angriffe ermöglichen es einem Übeltäter, sensible Informationen zu erhalten oder einen Webserver zu kompromittieren. Der Angreifer fügt Javascripts in die Seiten einer vertrauenswürdigen Website ein und verändert deren Inhalt. Dann wird die anfällige Website als Mittel verwendet, um ein bösartiges Skript an den Browser des Opfers zu liefern. Der Angreifer nutzt das Vertrauen aus, das ein Benutzer in eine Website hat.

Cross-site request forgery (CSRF)

Cross-site request forgery-Angriffe zwingen Endbenutzer, Informationen zu ändern, die sie nicht beabsichtigt hatten. Es kann das Aktualisieren persönlicher Daten, das Posten von Inhalten oder das Initiieren falscher Transaktionen sein. Ein Angreifer provoziert einen Benutzer, eine bösartige HTTP-Anfrage, einschließlich des Sitzungscookies des Opfers, an eine Zielanwendung oder -website zu senden. Die anfällige Website vertraut darauf ohne die Zustimmung des Benutzers. In diesem Fall nutzt der Angreifer das Vertrauen aus, das eine Website gegenüber dem Browser des Benutzers hat.

Sensible Datenexposition

Wenn eine Webanwendung sensible Daten während des Transports und im Ruhezustand nicht ordnungsgemäß schützt, können Angreifer die Daten stehlen oder manipulieren, um Identitätsdiebstahl, Kreditkartenbetrug oder andere Verbrechen durchzuführen. Diese Art von Schwachstelle bezieht sich auf das Fehlen einer Verschlüsselung sensibler Daten wie Kreditkartennummern, Authentifizierungsdaten, Sozialversicherungsnummern (SSN), Steuer-IDs usw.

Verzeichnisüberquerung

Verzeichnisüberquerungs-Angriffe ermöglichen den Zugriff auf eingeschränkte Dateien und Verzeichnisse und das Ausführen von Befehlen außerhalb des Stammverzeichnisses des Webservers. Ein Angreifer manipuliert eine URL so, dass die Website die eingeschränkten Dateien auf dem Webserver preisgibt.

WAF-Bereitstellung

WAF kann als physische, virtuelle oder Software-Appliance, Server-Plugin oder Cloud-basierter Dienst ausgeführt werden. Derzeit sind Cloud-Dienste hauptsächlich für kleine und mittelständische Unternehmen (KMUs) geeignet, während große Unternehmen eher in speziell entwickelte physische oder virtuelle Appliances investieren.

WAF kann vor einem Webserver oder direkt auf einem Webserver integriert bereitgestellt werden. Meistens wird ein WAF inline als Reverse Proxy bereitgestellt, kann aber auch im Bridge-Modus, Spiegelmodus (außerhalb des Bandes positioniert) oder als transparenter Proxy bereitgestellt werden. Im Falle einer Spiegelmodus-Bereitstellung arbeitet ein WAF an einer Kopie des Netzwerkverkehrs.

Jede WAF-Bereitstellung ist je nach Anwendungsfall unterschiedlich. Es hängt vom primären Ziel der Technologieimplementierung ab – ob sie für virtuelles Patching, HTTP-Auditprotokollierung, Verfolgung sensibler Daten oder Identifizierung von Anwendungsschwachstellen verwendet wird. Für einige WAFs ist ein hybrider Bereitstellungsmodus verfügbar, der eine Inline-Bereitstellung mit der Bereitstellung von Sensoren außerhalb der Linie kombiniert, um Audit-Daten zu sammeln und dann mit einer auf einem bestimmten Webserver installierten Agent-Anwendung zu kommunizieren. Viele WAF-Produkte unterstützen nicht nur einzelne, sondern auch mehrere Webserver-Bereitstellungen.

Wie funktioniert WAF?

Auf Anwendungsebene betrieben, fungiert WAF als flexible Barriere zwischen Endbenutzern und Anwendungen. Es überwacht und filtert sowohl eingehenden als auch ausgehenden HTTP-Datenverkehr und blockiert Aktivitäten, die den konfigurierten Sicherheitsregeln widersprechen. Ein WAF fängt jedes HTML-, HTTPS-, SOAP- und XML-RPC-Datenpaket ab und analysiert es. Die Inspektion des Datenverkehrs auf unbekannte Muster ermöglicht es, neue unbekannte Angriffe zu erkennen und zu blockieren. Auf diese Weise bietet WAF Fähigkeiten, die über die von NGFW und IPS hinausgehen, die nur bekannte Schwachstellen abdecken.

Integration mit anderen Sicherheitstechnologien

WAF integriert sich mit anderen Informationssicherheitstechnologien, wie z. B. Anwendungsschwachstellenscannern, DDoS-Schutz-Appliances, Datenbanksicherheitslösungen, Web-Betrugserkennung, SIEM (Information and Event Management). Die Konsolidierung von WAFs mit anderen Sicherheitstechnologien ermöglicht es, die Erkennungs- und Bedrohungsblockierungsrate für bekannte und neu auftretende Bedrohungen zu maximieren. Feingetunte Anpassung minimiert falsch-positive Ergebnisse und gewährleistet eine genaue Anomalieerkennung. Dies hilft letztlich, Risiken zu mindern und die Angriffsfläche des Unternehmens erheblich zu verkleinern.

WAF-Einschränkungen

Mit allen Vorteilen, die WAF bieten kann, kommen Schwierigkeiten bei der Bereitstellung und der laufenden Softwareverwaltung. Um das erwartete Maß an Anwendungs- und Datensicherheit zu bieten, muss WAF effektiv bereitgestellt und verwaltet werden. Dies umfasst die angemessene Pflege von Firewall-Richtlinien und die Anpassung von Sicherheitsregeln, was wiederum fortgeschrittene Kenntnisse der WAF-Administratoren erfordert.

Es gibt Probleme, die bei der Bereitstellung und Implementierung von WAF Aufmerksamkeit erfordern:

Unwirksame Richtlinien. Firewall-Richtlinien und -Funktionen sollten offensichtlich mit neuen aufkommenden Bedrohungen Schritt halten, was nicht immer der Fall ist. Ein anderes Problem ist der Mangel an Informationen und Dokumentationen darüber, welche Richtlinien wirksam sind, sodass Benutzer zusätzlichen Aufwand und Zeit investieren müssen, um herauszufinden, was funktioniert und wie es verbessert werden kann.

Anpassung von Sicherheitsregeln. Es dauert Zeit, alle notwendigen Regeln zu ermitteln, um Verkehr zu blockieren oder zuzulassen, der durch die Anwendungen fließt. Regeln müssen auch ständig aktualisiert werden, da sich Code ändert und neue Funktionalitäten hinzukommen. Das Blockieren legitimer Anfragen erzeugt falsch-positive Ergebnisse, die dazu führen, dass ein bösartiger Angriff in diesem Pool irrelevanter Warnungen ignoriert wird.

Fähigkeitenlücke. Kunden haben oft Schwierigkeiten, bestehende Geräte am Laufen zu halten, da nicht alle Organisationen über die internen Fähigkeiten verfügen, um eine WAF korrekt und effektiv zu nutzen. Das Auslagern der WAF-Verwaltung ist auch nicht immer die beste Entscheidung. Bei der Wahl einer WAF-Bereitstellung, insbesondere für Compliance-Zwecke, müssen Administratoren kritische Funktionen priorisieren, die am besten für die aktuellen Bedürfnisse der Organisation geeignet sind. Nach dem Bereitstellungs- und Konfigurationsprozess erfordert die WAF ein hohes technisches Fachwissen des Teams, um effizient zu funktionieren und einen nachhaltigen Wert zum Sicherheitssystem des Unternehmens hinzuzufügen.

Verlagerung von Operationen in die Cloud. Da immer mehr Unternehmen ihre Anwendungen und Daten in öffentliche Cloud-Infrastrukturen verlagern, müssen sie zwangsläufig die Web Application Firewall und die damit verbundenen Richtlinien in diese neue und grundsätzlich andere Architektur migrieren. Das Problem ist, dass nicht alle Anbieter eine nachhaltige Alternative zur On-Premise-Appliance bieten oder die APIs bereitstellen können, die eine Organisation benötigt, um das Bereitstellungsszenario in der dynamischen Cloud-Umgebung zu realisieren.

Fazit

Webanwendungs-Firewalls sind ein übliches Sicherheitswerkzeug, das von Unternehmen verwendet wird, um Webanwendungen gegen böswillige Exploits, Identitätswechsel, bekannte Schwachstellen und neue aufkommende Bedrohungen zu schützen sowie selbst verursachte Schwachstellen eigens entwickelter Anwendungen zu identifizieren. Es hilft auch, Compliance-Anforderungen zu erfüllen. Und obwohl diese Technologie für Unternehmen, die ihre Webressourcen sichern wollen, definitiv ein Muss ist, reicht sie nicht aus, wenn es um Datenbanksicherheit geht.

In unseren kommenden Beiträgen werden wir über Database Access Firewall sprechen und warum Web Application Firewall allein nicht in der Lage ist, Datenbanken vollständig zu sichern.

Lesen Sie die gesamte Firewall-Serie:

  1. Fifty Shades of Firewall
  2. WAF. Ein Ritter in glänzender Rüstung
  3. DAF. Rette die Datenbank vor dem Drachen
  4. WAF + DAF = Glücklich bis ans Ende
 

Nächste

Wie beliebte Datenbanken mit DDL-Befehlen in Transaktionen umgehen

Wie beliebte Datenbanken mit DDL-Befehlen in Transaktionen umgehen

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Allgemeine Informationen
Vertrieb
Kundenservice und technischer Support
Partnerschafts- und Allianz-Anfragen
Allgemeine Informationen:
info@datasunrise.com
Vertrieb:
sales@datasunrise.com
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
partner@datasunrise.com