Web Application Firewall

Inhaltsverzeichnis

Web Application Firewall & Application Layer Gateway

Dieser Artikel von unserem ProSec-Team gibt einen Einblick, was eine Web Application Firewall (WAF) / ein Application Layer Gateway (ALG) ist, wie sie funktioniert, wie sie sich von einer normalen Firewall unterscheidet, warum sie benötigt wird und welche Vorteile sie bietet.

Was ist eine Web Application Firewall (WAF) /Application Layer Gateway (ALG)?

Im Wesentlichen unterscheidet sich ein sichtbarer Proxy Server von einem transparenten Proxy Server in der Netzwerkinfrastruktur. Bei einem transparenten Proxy-Server ist für mindestens einen Kommunikationspartner nicht ersichtlich, dass eine zusätzliche Instanz (Proxy) als zentrale Kommunikationsbrücke zur Verfügung steht. Die Kommunikationspartner gehen davon aus, dass sie über direktem Weg kommunizieren. Der Proxy-Server ist also „unsichtbar“. Die Netzwerkinfrastruktur ist so konfiguriert, dass sämtliche Anfragen automatisch über eine Proxy-Instanz weitergeleitet werden. Der Proxy tritt anschließend stellvertretend als Kommunikationspartner auf.

Ein sichtbarer Proxy Server tritt dagegen als sichtbare, eigenständige Instanz auf und wird über eine eigene öffentliche IP-Adresse angesprochen

Warum wird eine Web Application Firewall benötigt?

Schnittstellen, die man nach außen hin anbietet, sind stets Ziel von Angriffen, seien es nun Dienste, um sich Zugang zu den Geräten selbst zu verschaffen, wie SSH und /oder FTP, oder das Einschränken der Verfügbarkeit der Anwendung, etwa durch Denial of Service Angriffe (siehe auch Distributed Reflective Denial of Service Angriffe). Solche Angriffe können leicht von der Ebene der Script-Kiddies ausgeführt werden.

Anwendungen werden oft von Menschen entwickelt und weisen auf die eine oder andere Weise Bugs oder Schwachstellen auf, die auch nach Unit-Tests nicht entdeckt werden können. Daher sind sie permanent Angriffen ausgesetzt, die ihre Schwachstellen ausnutzen. Solche Angriffe erfordern fortgeschrittene Fähigkeiten, was auch bedeutet, dass die Angreifer hinter teuren Assets her sind. Eine Web Application Firewall kann Ihnen hierbei helfen.

Du willst die Sicherheit Deiner Web Applications testen lassen?
Wir bieten Dir einen professionellen Web Application Pentest!
Mehr zum Web Application Pentest
Icon Laptop Gear

Merkmale von Web Application Firewall und Application Layer Gateway

Um Anwendungen schützen zu können, bieten Web Application Firewalls/Application Layer Gateways einige Mechanismen. Diese sind:

Algorithmen zur Erkennung von Anomalien

Diese erstellen normale Anforderungsprofile von Anwendungen und Servern und unterscheiden dann anomale Anforderungen von den bereits erstellten normalen Anforderungsprofilen.

Heuristik-Algorithmen

Diese Funktion prüft innerhalb von Dateien/Skripten auf Attribute/Muster oder so genanntes “Verhalten/Aktionen”, um zu entscheiden, ob es sich um eine sichere oder bösartige Datei handelt.

Signatur-basierte Algorithmen

Dies ist eine Funktion, die Angriffe identifiziert, indem sie Muster der Angriffe mit der Datenbank von Signaturen bekannter Schadprogramme abgleicht.

Snort-Regeln können eingebunden werden

Klassische Firewall-Regeln

z.B. Zulassen von Verbindungen zu einer einzelnen IP

Betriebsart

Web Application Firewalls sind in der Lage, in zwei Modi zu arbeiten: passiver Modus und aktiver Modus.

Passiver Modus:

Das bedeutet, dass die Web Application Firewall Aktionen wie Überwachung und Protokollierung durchführt, aber nicht auf den Datenverkehr reagiert. Dennoch kann sie mit Systemen wie SIEM so konfiguriert werden, dass sie Alarme empfängt oder nur Ereignisse sendet.

Aktiver Modus

Web Application Firewalls, die in diesem Modus arbeiten, prüfen den Dateninhalt des Netzwerkverkehrs, der über sie fließt, und schützen aktiv vor Bedrohungen, indem sie diese blockieren bzw. entfernen. Dadurch wird sichergestellt, dass solche Bedrohungen die Anwendungsserver nicht erreichen.

Icon Idea

Unterschied zwischen einer Firewall und einer Web Application Firewall

Es besteht meist ein Missverständnis darüber, was der Unterschied zwischen einer Firewall und einer Web Application Firewall ist. Hier sind einige Erklärungen basierend auf den Schichten, auf denen sie arbeiten (OSI-Schichten), ihren Funktionen (was sie tun) und den Standorten, an denen sie eingesetzt werden (Netzwerkstandort).

1. OSI-Schicht

Die Firewall arbeitet auf Schicht 3 und 4. Web Application Firewalls arbeiten bis auf Schicht 7.

2. Funktionen

Eine Firewall dient als Sicherheitsgrenze zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk, wo sie festlegt, welcher Datenverkehr erlaubt sein soll, während Web Application Firewalls den Dateninhalt der Protokolle in Schicht 7 kontrollieren und Protokollverletzungen und schädlichen Inhalt erkennen.

3. Standort

Firewalls werden meist am Rand von Netzwerken sowie zwischen internen und DMZ-Netzwerken platziert, während Web Application Firewalls auch vor Anwendungen und Servern platziert werden und so Schutz vor Bedrohungen bieten, die auf diese Server oder das ganze Netzwerk abzielen.

Vor welcher Art von Bedrohung schützt die Web Application Firewall?

Wie bereits erwähnt, schützen Web Application Firewalls vor Angriffen, die sich im Allgemeinen auf Anwendungen und Server konzentrieren. Beispiele für solche Bedrohungen sind:

• Infizierte beziehungsweise unerlaubte Dateianhänge

• DDOS-Angriffe der Schicht 7

• SQL-Injection

• Cross-Site-Scripting-Angriffe

• Zero-Day-Angriffe

• HTTP Verb Tampering

Nimm unser IT-Security Consulting-Angebot in Anspruch
Wir beraten Dich gerne
Jetzt kontaktieren

Fazit zu Web Application Firewalls

Web Application Firewalls/Application Layer Gateways ähneln zwar in ihrer Definition der traditionellen Firewall, sind aber dennoch anders und haben eine einzigartige Rolle bei der Verteidigung eines Netzwerks. Es ist wichtig, diesen Unterschied zu kennen, um eine angemessene Verteidigungslinie zur Verhinderung schwerer Cyberangriffe zu gewährleisten.

Newsletter Form

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!