Web-Application-Firewall

Only in German available.

Was ist eine Web-Application-Firewall (WAF)?

Eine "Web-Application-Firewall" (kurz WAF) ist eine Sicherheitslösung, die entwickelt wurde, um Webanwendungen vor verschiedenen Arten von Online-Bedrohungen und Angriffen zu schützen. Ihre Hauptfunktion besteht darin, den Datenverkehr zwischen einem Benutzer und einem Webserver zu überwachen und zu filtern, um potenziell schädliche Aktivitäten zu erkennen und zu blockieren.

Zu den häufig erkannten Bedrohungen gehören SQL-Injection-Angriffe, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Brute-Force-Angriffe und andere webbasierte Angriffsmethoden.

Die WAF verwendet verschiedene Techniken, um Angriffe zu erkennen und zu verhindern, darunter:

Signaturbasierte Erkennung: Die WAF sucht nach bekannten Angriffsmustern und Signaturen und blockiert den Datenverkehr, wenn Übereinstimmungen gefunden werden.

Verhaltensbasierte Erkennung: Die WAF analysiert das Verhalten des Datenverkehrs und setzt Regeln ein, um verdächtiges Verhalten zu erkennen.

Geografische Einschränkungen: Die WAF kann den Datenverkehr aus bestimmten geografischen Regionen beschränken, um geografisch basierte Angriffe zu verhindern.

Rate-Begrenzung / Rate-Limit: Die WAF kann die Anzahl der Anfragen pro Zeiteinheit begrenzen, um Brute-Force-Angriffe zu verhindern.

Web Application Firewalls sind ein wichtiger Bestandteil der Sicherheitsstrategie für Webanwendungen und helfen Unternehmen, ihre Webanwendungen vor potenziell schädlichen Angriffen zu schützen.

Verschiedene Arten von WAFs

Es gibt folgende Arten von WAFs:

• Cloudbasierte Dienste
• Betrieb auf eigener Infrastruktur
  
  • Direkt auf dem Applikationsserver (Bsp. ModSecurity)
  • Auf einem dedizierten System

Dabei wird der gesamte Datenverkehr über die WAF geleitet, damit die WAF ihre Filter anwenden kann.

Ist eine WAF ein Allerheilsmittel?

Aus unserer Sicht ganz klar: Nein. Sich vollständig auf eine WAF zu verlassen ist keine gute Idee, denn zu jedem Filter gibt es eine Möglichkeit diesen Filter zu umgehen. Die WAF ist lediglich ein Layer in der Kette der Sicherheitslayern einer Web-Applikation.

Häufige Konfigurationsfehler

Wichtig ist es, dass der Applikations-Server nur Anfragen verarbeitet, welche über die WAF geleitet werden. Kann man Anfragen direkt an den Applikations-Server stellen, so können die Filter der WAF einfach umgangen werden.

Wichtig ist es, dass man die direkte IP-Adresse des Applikation-Servers nicht findet. Die direkte IP-Adresse kann auf zahlreichen Wegen herausgefunden werden. So zum Beispiel:

• In einer DNS-History kann die direkte IP in alten Einträgen ersichtlich sein.
• DNS-Records können direkte IPs preisgeben: z.B. TXT oder SPF-Einträge
• Einige Protokolle können direkte Verbindungen vom Server zum Client öffnen und so die Server IP preisgeben.

Risiken einer WAF?

Wird eine WAF eingesetzt, besteht das Risiko, dass man an anderen Stellen in Bezug auf die Sicherheit nachlässiger wird, da einem ja die WAF schützt. Eine sichere Applikation ergibt sich jedoch nur, wenn jeder Layer und jeder Sicherheitsmechanismus optimal eingestellt und umgesetzt sind.

Es gilt auch zu prüfen, welche Requests eine WAF filtert und welche nicht. So zum Beispiel werden bei einigen WAFs HTTP-Requests mit dem Content-Type application/x-www-form-urlencoded gefiltert, stellt man aber den Request auf den Content-Type application/json um, filtert die WAF nicht mehr. Je nach verwendetem Framework im Hintergrund kann es gut sein, dass das Framework mit beiden Content-Typen umgehen kann. Oder das bösartiger Content bei application/x-www-form-urlencoded blockiert wird, aber wird der Request auf multipart/form-data umgestellt, der bösartige Content von der WAF nicht blockiert wird. Hier gilt es genau zu prüfen, was die eigenen Anforderungen sind und was die WAF konkret filtert oder eben nicht.

Unsere Empfehlung

Wir empfehlen eine WAF einzusetzen, denn es ist ein wichtiger Bestandteil des gesamten Sicherheitskonzeptes. Es muss einem aber bewusst sein, dass auch eine WAF umgangen werden kann. Ob ein Cloud-Dienst eingesetzt wird oder die WAF selber betrieben wird, hängt stark von den Anforderungen und der Applikation ab. Die Filter und Konfigurationen müssen auf die jeweilige Applikation eingestellt werden.

Wichtig ist dabei, dass die anderen Sicherheitsmassnahmen trotzdem beibehalten und umgesetzte werden.