Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Web Application Firewall: Was muss sie können?

24.06.2020        IT-Sicherheit
Web Application Firewall: Was muss sie können?
Shutterstock ID 365647340

Unternehmen aller Branchen sind bei zentralen Geschäftsfunktionen zunehmend auf digitale Infrastrukturen angewiesen und stellen sogar eigene Webanwendungen bereit.  Um diese Dienste abzusichern, ist eine Web Application Firewall (WAF) die zentrale Komponente der IT-Sicherheit: Die WAF überwacht und filtert den gesamten HTTP/HTTPS-Traffic einer Anwendung. Damit dient sie als zusätzliche Sicherheitsbarriere in der Kommunikation zwischen Anwendern/Clients und der Anwendung. 

Definition: Was ist eine WAF? 

Durch eine WAF werden Webanwendungen praktisch gegen Angriffe „abgeschirmt“. Alle eingehenden Verbindungsanfragen passieren die Web Application Firewall, bevor sie den Server erreichen. Wenn eine WAF gut konfiguriert ist, wird bösartiger Traffic identifiziert und gefiltert, während legitimer Traffic durchgelassen wird. 

Dennoch ist eine Web Application Firewall keine vollständige Lösung für den Schutz der Webanwendungen vor Cyber-Bedrohungen. WAFs werden gezielt zur Abwehr von Angriffen auf der Anwendungsebene (Layer 7 im OSI-Modell) eingesetzt. Diese Attacken zielen auf die Datenverarbeitung und die Funktionalitäten ab, die sich direkt hinter der Benutzeroberfläche einer Anwendung befinden. Ein erfolgreicher Angriff dieser Art kann zu Verlust oder Manipulation sensibler Daten oder zur Unterbrechung des Datenaustauschprozesses führen.


Jetzt über Link11 Zero Touch WAF informieren


Wie funktioniert eine Web Application Firewall?

Um eine Anwendung vor Angriffen zu schützen, muss eine WAF zunächst den Unterschied zwischen legitimem und bösartigem Traffic erkennen. Dazu nutzt sie eine Reihe von Regeln oder „Richtlinien“. Dabei unterscheidet man zwei Grundtypen von WAF:

Blacklist-WAF

Eine Blacklist-WAF lässt sämtlichen Traffic durch, außer dieser weist Indikatoren auf, die als bösartig bekannt und in den Richtlinien der WAF enthalten sind. Blacklist-WAFs sind einfach einzurichten und zu pflegen, können aber auch relativ leicht umgangen werden.

Whitelist-WAF

Eine Whitelist-WAF blockiert standardmäßig sämtlichen Traffic, außer dieser ist ausdrücklich durch die Richtlinien der WAF zugelassen. Natürlich sind Whitelist-WAFs sicherer als Blacklist-WAFs, allerdings sind ihre Einrichtung, Pflege und Anpassung erheblich aufwendiger und kosten mehr Zeit. Häufige Anpassungen erhöhen außerdem das Risiko für menschliche Fehler.

Individuelle Konfigurationen

Einige moderne WAFs verwenden eine Kombination aus Blacklists und Whitelists für die Unterscheidung zwischen bösartigem und legitimem Traffic. Diese WAFs sind sicherer als standardmäßige Blacklist- oder Whitelist-WAFs. In der Praxis ist ihr Einsatz allerdings komplex, teuer und schwierig zu pflegen. Sie weisen außerdem auch eine deutlich höhere Wahrscheinlichkeit auf, erwünschten, legitimen Traffic unabsichtlich zu blockieren.

Der Schlüssel zu einer sicheren WAF ist immer ihre individuelle Konfiguration, die spezifisch auf den Datenverkehr eines Unternehmens eingestellt sein muss. Das bedeutet gleichzeitig, dass es mit der einfachen Vorschaltung eines Web Application Firewalls-Produkte nicht getan ist. 

Größte Herausforderungen an eine WAF

Die Studie „The State of Web Application Firewalls“ befragte IT-Experten nach den größten Herausforderungen für den Betrieb einer Web Application Firewall:

  1. Angriffe, die die WAF umgehen und die Sicherheit der Anwendung beeinträchtigen
  2. Zeitaufwändige Konfiguration und Administration
  3. Erhebliche Kosten für Besitz und Personal

Nur vier von zehn der befragten Unternehmen berichten, dass sie sehr zufrieden mit der verwendeten WAF sind.

Vor welchen Risiken schützt die WAF?

Die Firewall einer Anwendung untersucht beide Seiten einer Konversation: die Anfragen an den Server und seine Antworten. Dazu zählen HTTP, HTTPS, aber auch Prozesskommunikation wie SOAP und XML-RPC. Wenn verdächtige Muster registriert werden, blockiert die WAF den Datenstrom. Typische Beispiele sind dabei:

  • Denial of Service-Attacken: Gezielte Überlastung durch tausendfache Serveranfragen
  • Session Hijacking: Kapern einer authentifizierten Kommunikationssitzung
  • Website-Defacements: Unberechtigtes Verändern der Inhalte
  • Zero-Day Exploit Attacks (ZETA): Angriffe auf eine neue Schwachstelle in einer Anwendung, bevor Hersteller einen Patch liefern
  • Buffer Overflow: Durch verschiedene Arten von Pufferüberläufen wird das Eindringen von Malware ermöglicht
  • Cross-site Scripting (XSS): Webseitenübergreifendes Skripting, um Zugriff zu erlangen, meistens über Datenklau von Benutzer-Logins
  • Injection-Angriffe: Einschleusung von Befehlen, meist in Content Management Systeme via Skript, LDAP, SQL etc.

Welche Probleme kann eine WAF (noch) nicht lösen?

Bot-Attacken

Für den Schutz vor bösartigen Botnetzen und DDoS-Angriffen sind Web Application Firewalls in der Regel unwirksam. Der Grund: Jede WAF ist an die Kapazität des jeweiligen Internetzugangs gebunden. Gibt es zu viele Anfragen gleichzeitig, ist die Firewall schnell überlastet, da die verfügbaren Ressourcen zur Verarbeitung begrenzt sind. 

Zugriffsrechte

Eine Firewall kann nicht das Berechtigungsmanagement einer Anwendung abbilden oder sogar übernehmen. Das heißt, die WAF kann User mit eingeschränkten Rechten nicht daran hindern, auf Bereiche zuzugreifen, für die ihre Rechte nicht ausreichen. 

Web Application Firewall wählen: Probleme und Lösungen

Viele WAF-Lösungen haben eindeutige Schwachstellen, aufgrund derer sie umständlich zu pflegen und im Umgang mit bestimmten Cyberrisiken wenig wirksam sind. Bei der Wahl einer Lösung müssen die unternehmenseigenen Bedürfnisse aber immer an erster Stelle stehen.


Typische Schwächen Verfügbare Lösungen
Blinde Flecken: Übermäßige Fokussierung auf bekannte Sicherheitsrisiken und -standards (z. B. OWASP Top 10 Risks)Wahl einer flexiblen WAF, die individuelle Anpassungen zulässt
Komplexität: setzt technisches Know-how und viele Ressourcen voraus, fördert menschliche FehlerVerfügbare Automatisierungsfunktionen
Fehlende Lernfähigkeit: Stand der Technik schnell überholtSelbstlernende WAF, die auf künstlicher Intelligenz (KI) und Maschinenlernen (ML) basiert
Trägheit: Filter arbeiten zu langsam, um aktive Attacken abzuwehrenEchtzeit-Erkennung


Die WAF mit „Zero Touch“ von Link11

Link11 hat eine eigene Web Application Firewall entwickelt, die Ihre Ressourcen schont und sich selbstständig weiterentwickelt. 

Unser 3-Stufen-Ansatz für Ihren Schutz

  • Stufe 1: Laufendes KI-basiertes Lernen mit gründlicher Analyse des eingehenden Datenverkehrs und Erstellung einer Whitelist legitimer Quellen
  • Stufe 2: Ständige Feedback-Schleife, die Whitelist-Regeln ausgehend vom gesamten eingehenden Datentraffic verfeinert
  • Stufe 3: Innovative Kombination aus WAF-Scoring und DDoS-Scoring, um in Echtzeit mit beispielloser Genauigkeit zwischen legitimem und bösartigem Traffic zu unterscheide


Jetzt über Link11 Zero Touch WAF informieren


Automatische Konfiguration

Die Zero Touch WAF von Link11 schützt Webanwendungen mithilfe eines automatisierten Whitelist-Prozesses, der völlig ohne menschliches Eingreifen auskommt.

Sie basiert auf selbstlernender KI, um unbekannte Angriffe in Echtzeit zu identifizieren und neue Richtlinien zu erstellen. Dieser technologische Ansatz ist nicht nur schneller als ein Mensch je sein könnte, sondern vermeidet auch potenzielle menschliche Fehler und Fehlkonfigurationen, die das Cyberrisiko drastisch erhöhen würden.

Einzigartiges Scoring-System

Die Kombination aus WAF-Scoring und DDoS-Scoring der Link11 Cloud Security Platform ist branchenweit einzigartig. Für den Aufbau der Scorings werden den Clients -basiert auf dem Verhalten ihrer Anfragen - good points oder badness points zugewiesen. Übersteigt die Summe der Minuspunkte ein Limit, wird der Client geblockt

Die Technologie von Link11 reduziert den menschlichen Aufwand in der IT-Sicherheit erheblich. Zum anderen unterstützt sie die Cyber Resilience, indem sie eine Echtzeit-Abwehr gegen Angriffe auf allen Netzwerkebenen sicherstellt. Sie deckt also nicht nur Angriffe ab, die auf die Anwendungsschicht abzielen, sondern schützt Ihr IT-Netzwerk ganzheitlich.



Quelle:

• OWASP Top 10 2017 - Die 10 kritischsten Sicherheitsrisiken für Webanwendungen (Deutsche Version 1.0), OWASP German Chapter [https://wiki.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf]

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter