Dieser Artikel von unserem ProSec-Team gibt einen Einblick, was eine Web Application Firewall (WAF) / ein Application Layer Gateway (ALG) ist, wie sie funktioniert, wie sie sich von einer normalen Firewall unterscheidet, warum sie benötigt wird und welche Vorteile sie bietet.
Im Wesentlichen unterscheidet sich ein sichtbarer Proxy Server von einem transparenten Proxy Server in der Netzwerkinfrastruktur. Bei einem transparenten Proxy-Server ist für mindestens einen Kommunikationspartner nicht ersichtlich, dass eine zusätzliche Instanz (Proxy) als zentrale Kommunikationsbrücke zur Verfügung steht. Die Kommunikationspartner gehen davon aus, dass sie über direktem Weg kommunizieren. Der Proxy-Server ist also „unsichtbar“. Die Netzwerkinfrastruktur ist so konfiguriert, dass sämtliche Anfragen automatisch über eine Proxy-Instanz weitergeleitet werden. Der Proxy tritt anschließend stellvertretend als Kommunikationspartner auf.
Ein sichtbarer Proxy Server tritt dagegen als sichtbare, eigenständige Instanz auf und wird über eine eigene öffentliche IP-Adresse angesprochen
Schnittstellen, die man nach außen hin anbietet, sind stets Ziel von Angriffen, seien es nun Dienste, um sich Zugang zu den Geräten selbst zu verschaffen, wie SSH und /oder FTP, oder das Einschränken der Verfügbarkeit der Anwendung, etwa durch Denial of Service Angriffe (siehe auch Distributed Reflective Denial of Service Angriffe). Solche Angriffe können leicht von der Ebene der Script-Kiddies ausgeführt werden.
Anwendungen werden oft von Menschen entwickelt und weisen auf die eine oder andere Weise Bugs oder Schwachstellen auf, die auch nach Unit-Tests nicht entdeckt werden können. Daher sind sie permanent Angriffen ausgesetzt, die ihre Schwachstellen ausnutzen. Solche Angriffe erfordern fortgeschrittene Fähigkeiten, was auch bedeutet, dass die Angreifer hinter teuren Assets her sind. Eine Web Application Firewall kann Ihnen hierbei helfen.
Um Anwendungen schützen zu können, bieten Web Application Firewalls/Application Layer Gateways einige Mechanismen. Diese sind:
Diese erstellen normale Anforderungsprofile von Anwendungen und Servern und unterscheiden dann anomale Anforderungen von den bereits erstellten normalen Anforderungsprofilen.
Dies ist eine Funktion, die Angriffe identifiziert, indem sie Muster der Angriffe mit der Datenbank von Signaturen bekannter Schadprogramme abgleicht.
z.B. Zulassen von Verbindungen zu einer einzelnen IP
Web Application Firewalls sind in der Lage, in zwei Modi zu arbeiten: passiver Modus und aktiver Modus.
Web Application Firewalls, die in diesem Modus arbeiten, prüfen den Dateninhalt des Netzwerkverkehrs, der über sie fließt, und schützen aktiv vor Bedrohungen, indem sie diese blockieren bzw. entfernen. Dadurch wird sichergestellt, dass solche Bedrohungen die Anwendungsserver nicht erreichen.
Es besteht meist ein Missverständnis darüber, was der Unterschied zwischen einer Firewall und einer Web Application Firewall ist. Hier sind einige Erklärungen basierend auf den Schichten, auf denen sie arbeiten (OSI-Schichten), ihren Funktionen (was sie tun) und den Standorten, an denen sie eingesetzt werden (Netzwerkstandort).
Die Firewall arbeitet auf Schicht 3 und 4. Web Application Firewalls arbeiten bis auf Schicht 7.
Eine Firewall dient als Sicherheitsgrenze zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk, wo sie festlegt, welcher Datenverkehr erlaubt sein soll, während Web Application Firewalls den Dateninhalt der Protokolle in Schicht 7 kontrollieren und Protokollverletzungen und schädlichen Inhalt erkennen.
Firewalls werden meist am Rand von Netzwerken sowie zwischen internen und DMZ-Netzwerken platziert, während Web Application Firewalls auch vor Anwendungen und Servern platziert werden und so Schutz vor Bedrohungen bieten, die auf diese Server oder das ganze Netzwerk abzielen.
Wie bereits erwähnt, schützen Web Application Firewalls vor Angriffen, die sich im Allgemeinen auf Anwendungen und Server konzentrieren. Beispiele für solche Bedrohungen sind:
• Infizierte beziehungsweise unerlaubte Dateianhänge
• DDOS-Angriffe der Schicht 7
• SQL-Injection
• Cross-Site-Scripting-Angriffe
• Zero-Day-Angriffe
• HTTP Verb Tampering
Web Application Firewalls/Application Layer Gateways ähneln zwar in ihrer Definition der traditionellen Firewall, sind aber dennoch anders und haben eine einzigartige Rolle bei der Verteidigung eines Netzwerks. Es ist wichtig, diesen Unterschied zu kennen, um eine angemessene Verteidigungslinie zur Verhinderung schwerer Cyberangriffe zu gewährleisten.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.