Alles über Web Application Firewalls Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.12.2009 Dr. Bruce Sams*

Alles über Web Application Firewalls

Projekte zu Web Application Firewalls sind äußerst komplex. Was Sie über Funktionen und Betrieb einer WAF unbedingt wissen sollten.

Mit der Verbreitung von Web-Anwendungen in kritischen Bereichen ist die Zahl und Schwere der Angriffe auf diese Anwendungen dramatisch gestiegen. In der Vergangenheit haben sich Unternehmen vor Angriffen durch die Schaffung eines sicheren Raums auf der Grundlage von Netzwerk-Firewalls geschützt. Doch Studien zeigen, dass sich die meisten Angriffe inzwischen von der Netz- auf die Anwendungsebene verlagert haben. Leider sind diese Attacken oft erfolgreich, weil viele Web-Anwendungen schwerwiegende Schwachstellen aufweisen. Nach Untersuchungen von WhiteHat Security haben 82 Prozent von 687 Anwendungen mindestens eine Schwachstelle wie Cross Site Scripting, SQL-Injection oder Privilege Escalation. Traditionelle Abwehrmechanismen wie Netz-Firewalls schützen hier nicht. Sie konzentrieren sich komplett auf die Netz- und Transportschicht und ignorieren Angriffe, die auf dem Hypertext Transfer Protocol (HTTP), Schicht 7 und höher, basieren.

Vor diesem Hintergrund gibt es eine Reihe von Strategien zur Verringerung der Sicherheitslücken, darunter eine neue Klasse von Produkten, die danach streben, einen umfassenden Schutz auf der Anwendungsebene zu gewährleisten: die Web Application Firewall (WAF). Eine WAF ist im Grunde eine Art Filter zwischen Client und Server, der auf der Anwendungsebene operiert, um schädliche oder gefährliche Requests zu blockieren, bevor sie die Anwendungen erreichen.

Richtig ausgewählt, installiert und konfiguriert kann eine WAF die Sicherheit von Web-Applikationen erheblich verbessern. Die Mehrzahl der WAFs schützen Anwendungen (zumindest auf dem Papier) gegen die meisten Bedrohungen, die in der "Owasp Top-10 Vulnerability List" des Open Web Application Security Project beschrieben sind. Allerdings kann dieser Schutz hohe Kosten und großen Aufwand nach sich ziehen. Deshalb sollten Sie im ersten und wichtigsten Schritt bei der Entscheidung für eine WAF definieren, was Sie mit der Technik erreichen möchten und warum Sie sie überhaupt haben wollen.

BRAUCHEN SIE ÜBERHAUPT EINE WAF? Die effektivsten und bewährtesten Sicherheitslösungen basieren auf dem Prinzip "Defense in Depth", wonach Sicherheit in Schichten aufgebaut sein und es keinen einzelnen Versagenspunkt geben sollte. Eine WAF kann die Sicherheit von Web-Anwendungen erheblich erhöhen, aber sie kann weder auf magische Art und Weise mit einem Knopfdruck unsichere Software in sichere verwandeln, noch ist sie ein Ersatz für die Erstellung sicherer Software. Eine WAF zu installieren, um keine sichere Software produzieren zu müssen, ist demnach keine gute Idee. Vielmehr sollte eine WAF Teil einer umfassenden Strategie zur Sicherung von Web-Anwendungen sein, die auch sichere Entwicklungsverfahren, Verwaltung und Überwachung einschließt.

Auf der anderen Seite haben Sie möglicherweise ein klar definiertes Ziel, etwa das Befolgen von Compliance-Vorschriften wie dem Payment Card Industry Data Security Standard (PCI-DSS). Auch in diesem Fall müssen Sie darauf achten, eine Entscheidung nicht vorschnell zu treffen. Ist das Erfüllen einer gesetzlichen Vorschrift anstelle einer betrieblichen Gesamtstrategie für Sicherheit das einzige Ziel, kann die WAF-Einführung zu einer finanziellen und technischen Katastrophe führen. Unter dem Druck, schnell handeln zu müssen, stützen Systemadministratoren ihre Entscheidung auf das Verkaufsargument eines einzelnen Anbieters beziehungsweise auf eine bestimmte Anforderung oder Funktion, auf die sie sich fixiert haben. Das Ergebnis wird mit hoher Wahrscheinlichkeit eine unangemessene oder nicht optimale Sicherheit sein. Auch eine knappe Frist entbindet Sie nicht von einer fundierten Analyse der Situation.

Ihre Wahl sollte mit Ihren betrieblichen Sicherheitsrichtlinien vereinbar sein, die (hoffentlich) Ihre Ziele und Anforderungen für die Sicherung von Daten und Diensten definieren. Wenn Sie nicht über solche Richtlinien verfügen, dann sind Sie auch nicht in der Lage, über eine WAF zu entscheiden. Die Wahl eines Produkts muss sich auf eine realistische Einschätzung stützen, welche Arten von WAF zur Verfügung stehen, welche Einschränkungen sie haben, und - ganz besonders - wie Sie diese neue Komponente betreiben und verwalten werden.

ZWEI WAF-ARCHITEKTUREN Es gibt zwei grundlegende Architekturen für WAFs. Da wäre zunächst der stark zentralisierte Ansatz von Appliance-WAFs, die in der Regel direkt hinter einer Netzwerk-Firewall und vor Web-Servern positioniert sind und durch die der gesamte Verkehr geleitet wird. Der zweite Ansatz besteht in der Verwendung einer Host-basierenden WAF, die direkt auf den Web-Servern installiert ist.

Als allgemeine Regel gilt: Die reine Leistung der zentralen Geräte ist höher als die von Host-gestützten Produkten, da sie häufig Hardware nutzen, die für den Netzverkehr optimiert ist. Der zentralisierte Ansatz erfordert allerdings auch eine höhere Leistung, da solche WAFs im Vergleich zum verteilten Konzept meist mehr Anwendungen schützen müssen.

In den meisten Fällen ist es leichter, eine einzelne Komponente zu verwalten, was als Vorteil für die Appliances erscheinen mag. Doch viele der Host-basierenden WAFs können über eine zentrale Management-Konsole verwaltet werden, die transparent mehrere Instanzen kontrolliert. Also ist in diesem Fall der vermeintliche Vorteil der Appliances kleiner, als es auf den ersten Blick scheinen mag.

Wenn die WAF versagt oder Probleme hat, kann dies katastrophale Folgen für die Anwendungen hinter ihr haben. Bei einem Fail-Open-Versagen der WAF sind die Anwendungen dahinter ungeschützt. Bei einem Fail-Closed-Versagen dagegen, bei dem kein Verkehr mehr durchgelassen wird, sind alle Anwendungen, die sie schützt, tot. Die zentrale Bereitstellung ist hier im Nachteil, da im Fail-Open-Szenario keine der Anwendungen hinter der WAF geschützt ist, während im Fail-Closed-Szenario keine der Anwendungen erreicht werden kann. Um diese Probleme zu umgehen, benötigen größere Anlagen eine hohe Verfügbarkeit, die man über Clustering und Redundanzen bereitstellen muss. Dies kann die zu erwartenden Gesamtkosten für die Installation der WAF wesentlich erhöhen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr

Hosted by:    Security Monitoring by: