Was ist eine Web Application Firewall (WAF) und welche Arten und Vorteile gibt es?

|
Veröffentlicht am

Fügen Sie Ihrem Netzwerk eine wichtige Sicherheitsebene hinzu, indem Sie Anwendungen vor Angriffen schützen.

Wussten Sie, dass über zwei Drittel der Webanwendungen kritische Sicherheitslücken aufweisen? Das hat Veracode herausgefunden, als es 130.000 Anwendungen auf Schwachstellen überprüfte und dabei feststellte, dass etwa 68 % eine Schwachstelle aufweisen, die in die OWASP Top 10 fällt.

OWASP (The Open Web Application Security Project) erstellt jährlich eine Liste der 10 wichtigsten Exploits, die in freier Wildbahn beobachtet werden.

Webanwendungen bieten Angriffsflächen für Cyberkriminelle, die explizit bekannte Schwachstellen ausnutzen. Nicht für alle diese Web-Anwendungs-Sicherheitsfehler sind sofort Korrekturen verfügbar, und nicht alle Korrekturen werden sowieso von der IT-Abteilung implementiert, so dass diese Anwendungen auf der Stelle treten.

Das muss nicht sein. Eine Web Application Firewall (WAF) kann Hacker von Ihren Anwendungen auf die gleiche Weise blockieren, wie eine Umkreisfirewall das Eindringen in das Netzwerk blockiert. Was ist also eine Web Application Firewall? Oberflächlich betrachtet scheint es ein wenig selbsterklärend zu sein, aber der Teufel steckt in den WAF-Details.

Wir werden uns diese Details ansehen, zeigen, wie eine Web Application Firewall Angriffe blockiert und wie Sie loslegen können.

Warum Hacker angreifen

Die grundlegende Herausforderung, mit der die IT konfrontiert ist, besteht darin, dass Webanwendungen Schwachstellen aufweisen, die nicht auf selbst entwickelte Anwendungen beschränkt sind – wir sehen regelmäßig, dass Schwachstellen in marktführenden Anwendungen gemeldet werden. Wie wir aus Branchenanalysen ersehen können, ist die Anzahl der Apps mit Schwachstellen beträchtlich und niemand kann sich darauf verlassen, wie sicher ihre Anwendung ist.

Sie fragen sich vielleicht, warum Hacker mich angreifen sollten? Ich bin kein Mega-Konzern, ich habe keine Staatsgeheimnisse – ich habe nichts Wertvolles für sie.

Es ist komplexer als das. Sie sehen, Hacker sind oft darauf aus, Daten zu extrahieren – einfacher ausgedrückt, Anwendungsdaten zu stehlen. Natürlich sind Gegenstände wie Kreditkarteninhaberdaten natürlich von Wert, aber Hacker sehen auch einen Wert darin, Informationen wie Listen mit Kundeninformationen zu stehlen, da diese für andere Web-Angriffe verwendet werden können.

Erpressung durch Ransomware oder Drohungen, sensible Daten zu veröffentlichen, sind ein wichtiger Motivator. Auch hier ist die Größe oder Art der Organisation nicht unbedingt von Bedeutung, damit sich diese Versuche lohnen.

Beim Vectoring wird Ihre kompromittierte Webanwendung verwendet, um Malware an besuchende Clients zu übermitteln. Während Ihrer Anwendung oberflächlich betrachtet kein tatsächlicher Schaden zugefügt wird, besteht das Potenzial für Reputationsschäden und die Blockierung Ihrer Website durch Suchmaschinen und Client-Schutzsoftware.  

Was ist eine Web Application Firewall (WAF)?

Was ist also eine Web Application Firewall? Die Leute, die die LoadMaster-Load-Balancing-Lösung entwickeln, kennen die Antwort – denn wir haben eine!

"Eine Web Application Firewall (WAF) baut auf dem traditionellen Firewall-Sicherheitsschutz auf und verbessert ihn. Herkömmliche Firewalls stoppen verschlüsselten HTTPS-Datenverkehr nicht, da sie keinen Einblick in den Inhalt haben. Eine Web Application Firewall, die logisch zwischen Standard-Firewalls und Webservern platziert ist, arbeitet auf Layer 7 des Netzwerk-Stacks. Es kann HTTPS-Web-Datenverkehr entschlüsseln und den Dateninhalt überprüfen. In Verbindung mit Listen bekannter Angriffsmethoden kann die Web Application Firewall den Zugriff auf Webserver verweigern, wenn potenziell bösartige Anfragen erkannt werden", so wie das

Welche Vorteile bringt eine Web Application Firewall (WAF)?

Was ist denn der eigentliche Unterschied zwischen einer Web Application Firewall (WAF) und einer Firewall? Tatsächlich verbessert und ergänzt eine Web Application Firewall herkömmliche Firewalls, die keinen Einblick in den Inhalt des verschlüsselten HTTPS-Datenverkehrs haben und daher gefährliche HTTPS-Streams nicht blockieren können.


Im Gegensatz zu herkömmlichen Firewalls arbeitet WAF auf Layer 7 des Netzwerk-Stacks zwischen Standard-Firewalls und Webservern, entschlüsselt den HTTPS-Datenverkehr und inspiziert die darin enthaltenen Daten. Mit der Erkennung von Anomalien und Listen von Angriffsmethoden kann die Web Application Firewall den Zugriff auf Webserver blockieren, wenn böswilliger Datenverkehr entdeckt wird.

Warum ist eine Firewall für eine Webanwendung so wichtig?

Sehen wir uns die Topologie einer WAF-Lösung an. Der Schutz vor Schwachstellen ist eine mehrschichtige Herausforderung, und eine der wichtigsten Schichten ist die Web Application Firewall (WAF).

Wie kann eine WAF also helfen? Eine WAF ist ein Reverse Proxy, der zwischen Benutzern und einer Webanwendung sitzt und den gesamten Datenverkehr auf böswillige Versuche untersucht, Schwachstellen auszunutzen, und solche Versuche daran hindern kann, zur Webanwendung zu gelangen.

Als Teil eines mehrschichtigen Sicherheitsansatzes kann eine WAF Protokollierungs- und Ereignisinformationen an externe Sicherheits- und Überwachungsdienste liefern. Die WAF-Technologie verwendet ein Regelwerk, das Schutz vor einer Vielzahl von Angriffen bietet. Dieses Regelwerk wurde im Laufe der Jahre weiterentwickelt, um auch neue und aufkommende Bedrohungen abzudecken. Im Falle der WAF, die mit Progress/Kemp LoadMaster verfügbar ist, werden diese Sicherheitsregeln automatisch und regelmäßig aktualisiert.

Diagramm zur Funktionsweise einer Web Application Firewall (WAF): Das Schaubild zeigt, wie der Datenverkehr zur Überprüfung durch die Firewall geleitet wird. Es veranschaulicht Verbindungen zu Protokollierungs- und SIEM-Systemen, Regelaktualisierungen sowie die Weiterleitung an Zielserver.

Am Beispiel der LoadMaster WAF bieten die Regeln dieser WAF Schutz vor den wichtigsten Schwachstellen, die in den OWASP TOP 10 identifiziert wurden.

OWASP ist eine unabhängige, von der Industrie unterstützte Gruppe, die sich auf Anwendungssicherheit konzentriert und jährlich Forschung zur WAF-Sicherheit durchführt. Im Laufe der Jahre haben sich die Schwachstellen in den OWASP Top 10 geändert, da neue Exploits häufiger auftreten und ältere Exploits im Laufe der Jahre entschärft wurden, da Anwendungsanbieter Schwachstellen beheben. Die von LoadMaster bereitgestellten Regeln enthalten neben anwendungsspezifischem Schutz auch diese älteren Schwachstellen.

Werfen wir einen kurzen Blick auf einige dieser Schwachstellen und wie sie ausgenutzt werden, beginnend mit der SQL-Injection.

Beispiel für SQL-Injection

Beispiel für einen SQL-Injection-Angriff Ein Formular wird ausgefüllt im Feld „Vorname“ steht „John“, im Feld „Nachname“ wird eine bösartige SQL-Zeichenkette eingefügt. Die daraus resultierende SQL-Abfrage lautet: SELECT * FROM Users WHERE Name =

Die obige Abbildung zeigt, wie ein SQL-Injection-Angriff aussieht. Bei einem SQL-Injection-Angriff wird versucht, das Verhalten einer SQL-Anweisung auf dem Back-End-Server zu ändern, indem zusätzliche SQL-Befehle eingeschleust werden.

Hier haben wir ein Formular, das Variablen aufnimmt, und eine SQL-Anweisung wird basierend auf den Werten in den Formularfeldern erstellt. Wenn ein böswilliger Akteur jedoch zusätzliche SQL über das Nachnamenfeld einschleust, sind die zurückgegebenen Ergebnisse völlig anders.
 
Da 1 = 1 immer wahr ist, gibt die Anweisung mit einem Familiennamen true zurück. Infolgedessen wählt die SQL-Anweisung tatsächlich alle Benutzer mit dem Vornamen John aus – nicht das, was ursprünglich vom Entwickler beabsichtigt war.

Dieses vereinfachte Beispiel zeigt, wie eine Webanwendung ausgenutzt werden kann, um mehr Daten als beabsichtigt bereitzustellen. Varianten dieses Angriffs könnten tatsächlich SQL-Drop-Anweisungen ausführen, um Teile der Datenbank zu löschen.

Beispiel für eine fehlerhafte Zugriffskontrolle

Werfen wir nun einen Blick auf Broken Access Control-Exploits. Mit einer fehlerhaften Zugriffssteuerung kann ein Benutzer auf Ressourcen außerhalb seiner vorgesehenen Berechtigungen reagieren.

Im folgenden Beispiel sehen wir einen normalen Zugriff, bei dem ein Benutzer auf sein eigenes Konto zugreift. Wenn sie jedoch den Parameter in der HTTP-Anforderung ändern, dürfen sie auf das Konto einer anderen Person zugreifen. Auch das ist nicht gerade ein wünschenswertes Ergebnis.

Das Beispiel zeigt einen Nutzer, der mit der Kontonummer 12345 eingeloggt ist und über eine URL auf sein Konto zugreift. Die URL enthält den Parameter acctno=12345. Im zweiten Teil des Beispiels ändert der Nutzer die URL manuell im Browser und ersetzt die Kontonummer durch acctno=67891, um so auf ein anderes Konto zuzugreifen.


Diese beiden sind sehr simpel – Anwendungen sollten viel besser programmiert sein – aber sie können immer noch anfällig für gut durchdachte Angriffe sein, die darauf abzielen, eine ganz bestimmte Schwachstelle auszunutzen.

Anwendungsschwächen können von 3rd-Party- oder Open-Source-Komponenten geerbt werden, die, wenn sie aktualisiert werden, neue Schwachstellen verursachen können. Aus diesem Grund sollte der Anwendungsschutz fortlaufend sein und nicht nur auf regelmäßigen Sicherheitsüberprüfungen wie App-Penetrationstests basieren.

Welche Arten von Web Application Firewalls gibt es?

Es gibt drei Haupttypen von Web Application Firewalls (WAFs):

  1. Cloud-basierte WAFs werden als Service bereitgestellt, wobei die gesamte Firewall-Infrastruktur in der Cloud gehostet wird.
  2. Hardware-basierte WAFs sind physische Geräte, die direkt im lokalen Netzwerk (LAN) installiert werden.
  3.  Software-basierte WAFs werden in der Regel als virtuelle Maschine betrieben und können sowohl in der Cloud als auch vor Ort (on-premises) eingesetzt werden.

WAF-Bereitstellungsmodi

Die Kemp LoadMaster Web Application Firewall (WAF) kann sowohl als Hardware- als auch als Cloud-basierte Lösung implementiert werden, wobei der Cloud-basierte Ansatz als bevorzugte Methode gilt. „Unternehmen können eine netzwerkbasierte Web Application Firewall entweder als Instanz oder als Bestandteil weiterer LoadMaster-Funktionen wie Load Balancing bereitstellen. Die Bereitstellung als virtuelle, maschinenbasierte Netzwerk-WAF wird zunehmend zum Standard, auch wenn bei Bedarf weiterhin Hardware-basierte Varianten zur Verfügung stehen“, heißt es auf der Kemp-Webseite zur Web Application Firewall.

Die Cloud ist der klare Trend. „Die Bereitstellung einer Cloud-basierten Web Application Firewall bietet alle Vorteile einer Public-Cloud-Umgebung. Die Kapazität kann flexibel an den Bedarf angepasst werden, nach oben wie nach unten. IT-Teams können sich so den Verwaltungsaufwand für den Betrieb eigener Infrastruktur vor Ort sparen“, heißt es auf der Kemp-Webseite.

Welche Web Application Firewall sollte ich nutzen?

Die Kemp WAF bietet einen umfassenden Schutz für Webserver, Anwendungen und Ihre Website und schützt sowohl benutzerdefinierte als auch Standardanwendungen vor Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS). 

Mit Kemp WAF kann die IT-Abteilung Sicherheitsprofile für jede Anwendung erstellen und verfügt über vorintegrierte Regelsätze für gängige Angriffsvektoren, die verhindern, dass bestimmte Datenverkehrsmuster, die auf ein Fehlverhalten hindeuten, Ihre Anwendungen erreichen – ohne Ihre Anwendungen oder Infrastruktur zu verändern. 

Hier sehen Sie eine Abbildung, die darstellt, wie eine WAF funktioniert:

Diagramm einer Web Application Firewall (WAF), die Benutzeranfragen filtert: Ungültige Anfragen werden verworfen, gültiger Datenverkehr wird an Ziele wie Rechenzentren, Cloud-Umgebungen und Speicherlösungen weitergeleitet. Das Diagramm zeigt außerdem den Ablauf von Richtlinienaktualisierungen und das Logging des Datenverkehrs.

Schutz vor OWASP Top 10 Angriffen

Wie bereits erwähnt, identifiziert das Open Web Application Security Project (OWASP) Top 10 die häufigsten und kritischsten Layer-Angriffe auf Webanwendungen. LoadMaster WAF verfügt über vordefinierte Regelsätze, um genau diese Schwachstellen zu bekämpfen. Zu den integrierten WAF-Schutzfunktionen gehören:

  • Cookie-Manipulation
  • Injektionsangriffe
  • Cross-Site-Scripting (XSS)
  • Verhinderung von Datenverlust (Data Loss Prevention, DLP)
  • Schutz vor Pufferüberlauf
  • Zugriffskontrolle
  • Fehlkonfiguration der Sicherheit
  • Echtzeitschutz
  • Denial-of-Service-Schutz
  • Verhinderung von Botnet-Angriffen
  • Webbasierter Malware-Schutz
  • Zero-Day-Bedrohungen

Zuhören und lernen

Erfahren Sie mehr über Web Application Firewalls und erfahren Sie mehr über die Einrichtung einer WAF in unseren Technical Kemping Webinaren.

Blogeinträge zu ähnlichen Themen

⮕ WAF – Web Application Firewall 101 – Load Balancer - Kemp

⮕ Web Application Firewall (WAF) Protokolle für mehr Sicherheit nutzen - Kemp

⮕ Web Application Firewall (WAF) für Amazon Web Services (AWS) - Kemp

Veröffentlicht am

Maurice McMullin

Maurice McMullin ist Principal Product Marketing Manager bei Kemp und verfügt über langjährige Erfahrung in der Entwicklung und Vermarktung von Netzwerk- und Sicherheitsprodukten. Er hat in Unternehmen aller Größen gearbeitet, von Zwei-Personen-Startups bis hin zu multinationalen Konzernen, in so unterschiedlichen Rollen wie Programmierer und CTO.

Next

Abonieren Sie unseren
RSS Feed
 
Themen

Cloud

Application Experience

Kubernetes

Load Balancer

MS Exchange

Nützliche Links
Progress Software Logo

Kemp is part of the Progress product portfolio. Progress is the leading provider of application development and digital experience technologies.

Copyright © 2025 Progress Software Corporation and/or its subsidiaries or affiliates. All Rights Reserved.

Progress and certain product names used herein are trademarks or registered trademarks of Progress Software Corporation and/or one of its subsidiaries or affiliates in the U.S. and/or other countries. See Trademarks for appropriate markings.

Do Not Sell or Share My Personal Information

Powered by Progress Sitefinity