Kemp Technologies Blogs

Was ist eine Web Application Firewall (WAF) und warum ist sie erforderlich?

Maurice McMullin | Posted on | Application Security | Load Balancer

Fügen Sie Ihrem Netzwerk eine wichtige Sicherheitsebene hinzu, indem Sie Anwendungen vor Angriffen schützen.

Wussten Sie, dass mehr als zwei Drittel der Webanwendungen kritische Sicherheitslücken aufweisen? Das fand Veracode heraus, als es 130.000 Anwendungen auf Schwachstellen scannte und feststellte, dass etwa 68 % einen Fehler aufwiesen, der in die OWASP Top 10 fiel.

Wussten Sie, dass über zwei Drittel der Webanwendungen kritische Sicherheitslücken aufweisen? Das hat Veracode herausgefunden, als es 130.000 Anwendungen auf Schwachstellen überprüfte und dabei feststellte, dass etwa 68 % eine Schwachstelle aufweisen, die in die OWASP Top 10 fällt.

OWASP (The Open Web Application Security Project) erstellt jährlich eine Liste der 10 wichtigsten Exploits, die in freier Wildbahn beobachtet werden.

Webanwendungen sind ein Hauptziel für Cyberkriminelle, die explizit bekannte Schwachstellen ausnutzen. Nicht für alle diese Fehler sind sofort Korrekturen verfügbar, und nicht alle Korrekturen werden sowieso von der IT-Abteilung implementiert, so dass diese Anwendungen auf der Stelle treten.

Das muss nicht sein. Eine Web Application Firewall (WAF) kann Hacker von Ihren Anwendungen auf die gleiche Weise blockieren, wie eine Umkreisfirewall das Eindringen in das Netzwerk blockiert. Was ist also eine Web Application Firewall? Oberflächlich betrachtet scheint es ein wenig selbsterklärend zu sein, aber der Teufel steckt in den WAF-Details.

Wir werden uns diese Details ansehen, zeigen, wie eine Web Application Firewall Angriffe blockiert und wie Sie loslegen können.

Warum Hacker angreifen

Die grundlegende Herausforderung, mit der die IT konfrontiert ist, besteht darin, dass Webanwendungen Schwachstellen aufweisen, die nicht auf selbst entwickelte Anwendungen beschränkt sind – wir sehen regelmäßig, dass Schwachstellen in marktführenden Anwendungen gemeldet werden. Wie wir aus Branchenanalysen ersehen können, ist die Anzahl der Apps mit Schwachstellen beträchtlich und niemand kann sich darauf verlassen, wie sicher ihre Anwendung ist.

Sie fragen sich vielleicht, warum Hacker mich angreifen sollten? Ich bin kein Mega-Konzern, ich habe keine Staatsgeheimnisse – ich habe nichts Wertvolles für sie.

Es ist komplexer als das. Sie sehen, Hacker sind oft darauf aus, Daten zu extrahieren – einfacher ausgedrückt, Daten zu stehlen. Natürlich sind Gegenstände wie Kreditkartendaten natürlich von Wert, aber Hacker sehen auch einen Wert darin, Informationen wie Listen mit Benutzernamen zu stehlen, da diese für andere Angriffe verwendet werden können.

Erpressung durch Ransomware oder Drohungen, sensible Informationen zu veröffentlichen, sind ein wichtiger Motivator. Auch hier ist die Größe oder Art der Organisation nicht unbedingt von Bedeutung, damit sich diese Versuche lohnen.

Beim Vectoring wird Ihre kompromittierte Webanwendung verwendet, um Malware an besuchende Clients zu übermitteln. Während Ihrer Anwendung oberflächlich betrachtet kein tatsächlicher Schaden zugefügt wird, besteht das Potenzial für Reputationsschäden und die Blockierung Ihrer Website durch Suchmaschinen und Client-Schutzsoftware.  

Was ist eine Web Application Firewall (WAF)?

Was ist also eine Web Application Firewall? Die Leute, die die LoadMaster-Load-Balancing-Lösung entwickeln, kennen die Antwort – denn wir haben eine!

"Eine Web Application Firewall (WAF) baut auf dem traditionellen Firewall-Sicherheitsschutz auf und verbessert ihn. Herkömmliche Firewalls stoppen verschlüsselten HTTPS-Datenverkehr nicht, da sie keinen Einblick in den Inhalt haben. Eine Web Application Firewall, die logisch zwischen Standard-Firewalls und Webservern platziert ist, arbeitet auf Layer 7 des Netzwerk-Stacks. Es kann HTTPS-Datenverkehr entschlüsseln und den Dateninhalt überprüfen. In Verbindung mit Listen bekannter Angriffsmethoden kann die Web Application Firewall den Zugriff auf Webserver verweigern, wenn bösartige Aktivitäten erkannt werden", so die 
Progress/Kemp-Glossar erklärt.

Nicht die Firewall deines Vaters

Tatsächlich verbessert und ergänzt eine Web Application Firewall herkömmliche Firewalls, die keinen Einblick in den Inhalt des verschlüsselten HTTPS-Datenverkehrs haben und daher gefährliche HTTPS-Streams nicht blockieren können.


Im Gegensatz zu herkömmlichen Firewalls arbeitet WAF auf Layer 7 des Netzwerk-Stacks zwischen Standard-Firewalls und Webservern, entschlüsselt den HTTPS-Datenverkehr und inspiziert die darin enthaltenen Daten.

Mit der Erkennung von Anomalien und Listen von Angriffsmethoden kann die Web Application Firewall den Zugriff auf Webserver blockieren, wenn böswillige Aktivitäten entdeckt werden.

 

Die Rolle der WAF

Sehen wir uns die Topologie einer WAF-Lösung an. Der Schutz vor Schwachstellen ist eine mehrschichtige Herausforderung, und eine der wichtigsten Schichten ist die Web Application Firewall (WAF).

Wie kann eine WAF also helfen? Eine WAF ist ein Proxy, der zwischen Benutzern und einer Webanwendung sitzt und den gesamten Datenverkehr auf böswillige Versuche untersucht, Schwachstellen auszunutzen, und solche Versuche daran hindern kann, zur Webanwendung zu gelangen.

Als Teil eines mehrschichtigen Sicherheitsansatzes kann eine WAF Protokollierungs- und Ereignisinformationen an externe Sicherheits- und Überwachungsdienste liefern. Die WAF verwendet ein Regelwerk, das Schutz vor einer Vielzahl von Angriffen bietet. Dieses Regelwerk wurde im Laufe der Jahre weiterentwickelt, um auch neue und aufkommende Bedrohungen abzudecken. Im Falle der WAF, die mit Progress/Kemp LoadMaster verfügbar ist, werden diese Regeln automatisch und regelmäßig aktualisiert.


Am Beispiel der LoadMaster WAF bieten die Regeln dieser WAF Schutz vor den wichtigsten Schwachstellen, die in den OWASP TOP 10 identifiziert wurden.

OWASP ist eine unabhängige, von der Industrie unterstützte Gruppe, die sich auf Anwendungssicherheit konzentriert und jährlich Forschung zur Anwendungssicherheit durchführt. Im Laufe der Jahre haben sich die Schwachstellen in den OWASP Top 10 geändert, da neue Exploits häufiger auftreten und ältere Exploits im Laufe der Jahre entschärft wurden, da Anwendungsanbieter Schwachstellen beheben. Die von LoadMaster bereitgestellten Regeln enthalten neben anwendungsspezifischem Schutz auch diese älteren Schwachstellen.

Werfen wir einen kurzen Blick auf einige dieser Schwachstellen und wie sie ausgenutzt werden, beginnend mit der SQL-Injection.

Beispiel für SQL-Injection


Die obige Abbildung zeigt, wie ein SQL-Injection-Angriff aussieht. Bei einem SQL-Injection-Angriff wird versucht, das Verhalten einer SQL-Anweisung auf dem Back-End-Server zu ändern, indem zusätzliche SQL-Befehle eingeschleust werden.

Hier haben wir ein Formular, das Variablen aufnimmt, und eine SQL-Anweisung wird basierend auf den Werten in den Formularfeldern erstellt. Wenn ein böswilliger Akteur jedoch zusätzliche SQL über das Nachnamenfeld einschleust, sind die zurückgegebenen Ergebnisse völlig anders.
 
Da 1 = 1 immer wahr ist, gibt die Anweisung mit einem Familiennamen true zurück. Infolgedessen wählt die SQL-Anweisung tatsächlich alle Benutzer mit dem Vornamen John aus – nicht das, was ursprünglich vom Entwickler beabsichtigt war.

Dieses vereinfachte Beispiel zeigt, wie eine Webanwendung ausgenutzt werden kann, um mehr Daten als beabsichtigt bereitzustellen. Varianten dieses Angriffs könnten tatsächlich SQL-Drop-Anweisungen ausführen, um Teile der Datenbank zu löschen.

Beispiel für eine fehlerhafte Zugriffskontrolle

Werfen wir nun einen Blick auf Broken Access Control-Exploits. Mit einer fehlerhaften Zugriffssteuerung kann ein Benutzer auf Ressourcen außerhalb seiner vorgesehenen Berechtigungen reagieren.

Im folgenden Beispiel sehen wir einen normalen Zugriff, bei dem ein Benutzer auf sein eigenes Konto zugreift. Wenn sie jedoch den Parameter in der HTTP-Anforderung ändern, dürfen sie auf das Konto einer anderen Person zugreifen. Auch das ist nicht gerade ein wünschenswertes Ergebnis.


Diese beiden sind sehr simpel – Anwendungen sollten viel besser programmiert sein – aber sie können immer noch anfällig für gut durchdachte Angriffe sein, die darauf abzielen, eine ganz bestimmte Schwachstelle auszunutzen.

Anwendungsschwächen können von 3rd-Party- oder Open-Source-Komponenten geerbt werden, die, wenn sie aktualisiert werden, neue Schwachstellen verursachen können. Aus diesem Grund sollte der Anwendungsschutz fortlaufend sein und nicht nur auf regelmäßigen Sicherheitsüberprüfungen wie App-Penetrationstests basieren.

Im Inneren der LoadMaster WAF

Die Kemp WAF bietet einen umfassenden Schutz für Webserver, Anwendungen und Ihre Website und schützt sowohl benutzerdefinierte als auch Standardanwendungen vor Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS). 

Mit Kemp WAF kann die IT-Abteilung Sicherheitsprofile für jede Anwendung erstellen und verfügt über vorintegrierte Regelsätze für gängige Angriffsvektoren, die verhindern, dass bestimmte Datenverkehrsmuster, die auf ein Fehlverhalten hindeuten, Ihre Anwendungen erreichen – ohne Ihre Anwendungen oder Infrastruktur zu verändern. 

Schutz vor OWASP Top 10 Angriffen

Wie bereits erwähnt, identifiziert das Open Web Application Security Project (OWASP) Top 10 die häufigsten und kritischsten Angriffe auf Webanwendungen. LoadMaster WAF verfügt über vordefinierte Regelsätze, um genau diese Schwachstellen zu bekämpfen. Zu den integrierten WAF-Schutzfunktionen gehören:

  • Cookie-Manipulation
  • Injektionsangriffe
  • Cross-Site-Scripting (XSS)
  • Verhinderung von Datenverlust (Data Loss Prevention, DLP)
  • Schutz vor Pufferüberlauf
  • Zugriffskontrolle
  • Fehlkonfiguration der Sicherheit
  • Echtzeitschutz
  • Denial-of-Service-Schutz
  • Verhinderung von Botnet-Angriffen
  • Webbasierter Malware-Schutz
  • Zero-Day-Bedrohungen

Zuhören und lernen

Erfahren Sie mehr über Web Application Firewalls und erfahren Sie mehr über die Einrichtung einer WAF in unseren Technical Kemping Webinaren.