Veröffentlicht am: 2. November 2023
Autor: Thomas Federer
Eine "Web-Application-Firewall" (kurz WAF) ist eine Sicherheitslösung, die entwickelt wurde, um Webanwendungen vor verschiedenen Arten von Online-Bedrohungen und Angriffen zu schützen. Ihre Hauptfunktion besteht darin, den Datenverkehr zwischen einem Benutzer und einem Webserver zu überwachen und zu filtern, um potenziell schädliche Aktivitäten zu erkennen und zu blockieren.
Zu den häufig erkannten Bedrohungen gehören SQL-Injection-Angriffe, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Brute-Force-Angriffe und andere webbasierte Angriffsmethoden.
Die WAF verwendet verschiedene Techniken, um Angriffe zu erkennen und zu verhindern, darunter:
Signaturbasierte Erkennung: Die WAF sucht nach bekannten Angriffsmustern und Signaturen und blockiert den Datenverkehr, wenn Übereinstimmungen gefunden werden.
Verhaltensbasierte Erkennung: Die WAF analysiert das Verhalten des Datenverkehrs und setzt Regeln ein, um verdächtiges Verhalten zu erkennen.
Geografische Einschränkungen: Die WAF kann den Datenverkehr aus bestimmten geografischen Regionen beschränken, um geografisch basierte Angriffe zu verhindern.
Rate-Begrenzung / Rate-Limit: Die WAF kann die Anzahl der Anfragen pro Zeiteinheit begrenzen, um Brute-Force-Angriffe zu verhindern.
Web Application Firewalls sind ein wichtiger Bestandteil der Sicherheitsstrategie für Webanwendungen und helfen Unternehmen, ihre Webanwendungen vor potenziell schädlichen Angriffen zu schützen.
Es gibt folgende Arten von WAFs:
Dabei wird der gesamte Datenverkehr über die WAF geleitet, damit die WAF ihre Filter anwenden kann.
Aus unserer Sicht ganz klar: Nein. Sich vollständig auf eine WAF zu verlassen ist keine gute Idee, denn zu jedem Filter gibt es eine Möglichkeit diesen Filter zu umgehen. Die WAF ist lediglich ein Layer in der Kette der Sicherheitslayern einer Web-Applikation.
Wichtig ist es, dass der Applikations-Server nur Anfragen verarbeitet, welche über die WAF geleitet werden. Kann man Anfragen direkt an den Applikations-Server stellen, so können die Filter der WAF einfach umgangen werden.
Wichtig ist es, dass man die direkte IP-Adresse des Applikation-Servers nicht findet. Die direkte IP-Adresse kann auf zahlreichen Wegen herausgefunden werden. So zum Beispiel:
Wird eine WAF eingesetzt, besteht das Risiko, dass man an anderen Stellen in Bezug auf die Sicherheit nachlässiger wird, da einem ja die WAF schützt. Eine sichere Applikation ergibt sich jedoch nur, wenn jeder Layer und jeder Sicherheitsmechanismus optimal eingestellt und umgesetzt sind.
Es gilt auch zu prüfen, welche Requests eine WAF filtert und welche nicht. So zum Beispiel werden bei einigen WAFs HTTP-Requests mit dem Content-Type application/x-www-form-urlencoded gefiltert, stellt man aber den Request auf den Content-Type application/json um, filtert die WAF nicht mehr. Je nach verwendetem Framework im Hintergrund kann es gut sein, dass das Framework mit beiden Content-Typen umgehen kann. Oder das bösartiger Content bei application/x-www-form-urlencoded blockiert wird, aber wird der Request auf multipart/form-data umgestellt, der bösartige Content von der WAF nicht blockiert wird. Hier gilt es genau zu prüfen, was die eigenen Anforderungen sind und was die WAF konkret filtert oder eben nicht.
Wir empfehlen eine WAF einzusetzen, denn es ist ein wichtiger Bestandteil des gesamten Sicherheitskonzeptes. Es muss einem aber bewusst sein, dass auch eine WAF umgangen werden kann. Ob ein Cloud-Dienst eingesetzt wird oder die WAF selber betrieben wird, hängt stark von den Anforderungen und der Applikation ab. Die Filter und Konfigurationen müssen auf die jeweilige Applikation eingestellt werden.
Wichtig ist dabei, dass die anderen Sicherheitsmassnahmen trotzdem beibehalten und umgesetzte werden.
Tut Ihre WAF, was sie soll? Wir überprüfen es gerne für Sie.
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
X
Tut Ihre WAF, was sie soll? Wir überprüfen es gerne für Sie.
Kontaktieren Sie uns unverbindlich:
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2024. Alle Rechte vorbehalten