Absichern von Web-Anwendungen mittels Web Application Firewall (WAF)

Eine herkömmliche Firewall kann nicht vor typischen Angriff auf Web-Anwendungen und Webseiten schützen sowie deren Performance sicherstellen.

Fast jeder nutzt auf irgendeine Weise Web-Anwendungen: Provisioning-Portale im Telekommunikationsbereich ermöglichen den Kunden die Einsicht in die Abrechnungen, das Kontrollieren des Einzelverbindungsnachweises oder das Ändern von Adressdaten. Private E-Mail-Konten, die Verwaltung des eigenen Nutzerprofils beim Online-Shopping, behördlichen Formulare oder Universitäts- und Schüler-Portale. 

Man glaubt – oder eher hofft – dass seine Daten dort auch sicher sind. Innerhalb von Unternehmen kommunizieren inzwischen ebenfalls nahezu alle Applikationen auf Basis von XML. Webservices auf Basis von XML können so auf einfache Weise Daten zwischen ERP-, CRM-, Office-, CMS- oder Produktionssystemen austauschen. Die Manipulation eines solchen Dienstes hätte für ein Unternehmen unter Umständen fatale Folgen.

Sicherheitslücken vorprogrammiert

Natürlich bemühen sich Online-Portale, -Shops und sonstige Unternehmen mit Online-Diensten und -Zugängen um Sicherheit. Doch diverse Faktoren beeinflussen entweder die Sicherheit der Benutzerdaten selbst oder aber die Funktionsfähigkeit der jeweiligen Web-Applikationen. 

Zahllose Online-Shops sind immer noch mit einfachen Mitteln manipulierbar und so können (auch große) Online-Portale leicht gestört werden. Für die Betreiber sind diese Störungen oft mit hohen Kosten, Umsatzausfällen und einem nicht bezifferbaren Imageverlust verbunden. Die Ursache für die Schwachstellen liegt in der Programmierung von Web-Anwendungen, die in der Regel auf eine bestimmte Funktionalität und auf eine möglichst schnelle Verfügbarkeit bei geringen Kosten abzielt. 

Jörg von der Heydt,
Channel & Marketing
Manager Germany,
Fortinet

Das Einbinden der notwendigen Sicherheits-Algorithmen erfordert jedoch einen – mit zunehmender Komplexität der Anwendung – immens steigenden Programmieraufwand, was wiederum die Kosten erhöht und die Auslieferung verzögert. Gleiches gilt für die ständigen Updates der Anwendung, die nur noch selten statisch und unverändert bleibt.

Security in eine Web-Applikation einzubinden, stellt somit eine große Herausforderung dar und wird daher in den meisten Fällen schlicht vernachlässigt oder nur oberflächlich umgesetzt. Ein erfolgreicher Angriff hat nicht nur Auswirkungen auf die Verfügbarkeit und Funktionsweise des Portals selbst, sondern unmittelbar auch auf wesentliche interne Daten und Prozesse. 

Ein Online-Shop ist oft direkt mit internen Prozessen für Fertigung, Bestellwesen, Logistik und Datenbanken für Artikelstämme, Fertigungsteile und natürlich mit sensiblen Kundeninformationen wie Bank- und/oder Kreditkartendaten verknüpft. Viele kleine und auch große Unternehmen machen sich nicht bewusst, wie stark der eigene Umsatz von der Verfügbarkeit der beschriebenen Portale, Shops oder anderen Anwendungen abhängt. 

Auch wenn die eigentliche Produktionsumgebung oder die Kernkompetenz „Dienstleistung“ verfügbar ist, kann ein Ausfall beim Bestellwesen, der Auftragsabwicklung oder der Fertigungssteuerung katastrophal enden und große Verdienstausfälle nach sich ziehen.

Zudem sind Unternehmen zum Beispiel im Bankenbereich auch aus Compliance-Gründen zum Einsatz von diversen Security Lösungen wie einer Web Application Firewall (WAF) mit entsprechendem Reporting und Schwachstellen-Management der Applikationen verpflichtet. Das regelt der PCI DSS (Payment Card Industry Data Security Standard), der Kreditkartentransaktionen schützen soll. 

Es handelt sich hier um einen Information Security Standard, der als Konsequenz auf die zunehmenden Angriffe auf Web-Anwendungen und -Services eingeführt wurde und der die sensiblen Daten der Kreditkartenbesitzer ebenso wie die Betreiber der entsprechenden Infrastruktur schützt.

Angriffe erkennen

Eine herkömmliche Firewall – auch wenn sie über ein Intrusion Prevention System und eine Applikationskontrolle verfügt – ist nicht in der Lage, Web-Service-basierende Angriffe zu erkennen und abzuwehren. Web Services sind die den Web-Applikationen zugrundeliegenden Funktionen, welche oft von mehreren Anwendungen gleichzeitig genutzt werden. 

Diese Web Services bedienen sich einer eigenen Beschreibungssprache (WSDL) und eines eigenen Protokolls (SOAP). Sowohl WSDL als auch SOAP beinhalten keinerlei Security-Mechanismen, beschreiben beziehungsweise übertragen aber alle Parameter eines Web-Dienstes transparent. 

Security in eine Web-Applikation einzubinden, stellt eine große Herausforderung dar und wird in den meisten Fällen vernachlässigt oder nur oberflächlich umgesetzt.

Es ist klar, dass Manipulationen dieser Services somit sehr leicht möglich sind. Ein Beispiel hierfür sind XDoS-Attacken, die auf nur einem einzigen System mit wenigen Byte Codes erzeugt werden können, da in XML rekursive Strukturen erlaubt sind. Mit einem simplen Eingriff ist so beispielsweise eine Endlosschleife „programmierbar“ – die denselben Effekt hat, wie ein „normaler“ DoS-Angriff, für den in der Regel mehrere tausend Systeme manipuliert und fremdgesteuert werden müssten.

Ein weiterer typischer Angriff auf Web-Anwendungen und -Seiten ist das Verändern von Dateien, die Teil der Applikation oder der Website sind. Derartige Veränderungen erkennt meist weder die Applikation selbst, noch eine herkömmliche Firewall, weil sie in der Infrastruktur an einem anderen Punkt im Netzwerk integriert ist. 

Im Gegensatz dazu befindet sich eine Web Applikation Firewall direkt vor der entsprechenden Web-Server-Farm und kann somit auch Files auf den Servern untersuchen und Veränderungen an Dateien sofort erkennen (sogenanntes Anti-Defacement) und gegebenenfalls die Originaldateien zurückschreiben. Derartige Funktionalität ist mit normalen Sicherheitslösungen nicht realisierbar.

Die Liste der möglichen Angriffe ist lang und erinnert in der Namensgebung an bekannte Attacken aus der „klassischen“ Infrastruktur- und Applikations-Welt. Zu den bekanntesten Attacken zählen sicher Cross-Site Scripting oder SQL Injection. Beim Cross-Site Scripting (XSS) wird eine Sicherheitslücke in einer Webanwendung ausgenutzt, in dem Informationen als vertrauenswürdig dargestellt werden, so dass in diesem Zusammenhang ein Angriff gestartet werden kann. 

Das Ziel ist es, an die sensiblen Benutzerdaten zu gelangen. Bei der SQL Injection versucht der Angreifer Zugang zu einer SQL-Datenbank zu erlangen, in dem er Datenbankbefehle einschleust. Auch hier ist es das Ziel, in den Besitz von Daten zu gelangen oder Kontrolle über einen Server zu erhalten.

Performance sichern

Schließlich gilt es, neben einer ausreichenden Sicherheit auch die Performance von Web-Applikationen sicherzustellen. Die Zahl der Transaktionen nimmt ständig zu und die Schnelligkeit bei den Antwortzeiten bestimmt über die Nutzung und den Erfolg oder Misserfolg der jeweiligen Anwendung. 

Der Nutzer steigt oft sehr schnell auf einen anderen Anbieter um, wenn eine Applikation zu langsam reagiert oder sogar für einen Zeitraum nicht verfügbar ist, denn für nahezu alle Online-Angebote gibt es inzwischen leicht auffindbare Alternativen. Gründe für schlechte Reaktionszeiten einer Web-Anwendung liegen häufig in einer nicht mehr den Anforderungen entsprechenden Dimensionierung der Web-Server-Farm. 

Zudem stellt jeder einzelne Web-Server Dienste bereit, die die Leistungsfähigkeit der Hardware mitunter stark beeinträchtigen. Dazu zählen rechenintensive Services wie SSL- oder XML-Encryption und -Decryption ebenso wie XML-Security-Validierung.

Durch das Bereitstellen des notwendigen Zertifikats auf der vorgeschalteten Web-Firewall, kombiniert mit diversen weiteren Optimierungs-Routinen wie Load Balancing oder XML-based Routing, kann eine externe Appliance die Web-Server signifikant entlasten. Das resultiert in mehr möglichen Transaktionen und kann sogar zu Kosteneinsparungen durch das Reduzieren der benötigten Server führen.

Schwachstellen automatisch identifizieren

Web-Applikationen werden unter Zeitdruck entwickelt und sind durch häufige Updates/Patches und Erweiterungen sehr fehleranfällig. Manchmal kann der Anwender erkannte Schwachstellen auch durch Neu-Konfiguration oder Patchen der Anwendung abstellen. An dieser Stelle sind Hilfsmittel gefragt, die kontinuierlich und automatisiert die eingesetzten Web-Anwendungen auf Sicherheitsdefizite hin scannen und entsprechende Reports generieren.

Selbstlernmodus für einfachste Integration

IT-Administratoren scheuen häufig – trotz der bereits erkannten Notwendigkeit – die Einführung von Web Application Security-Lösungen. 

Die Erstellung von Sicherheits-Regelwerken erfordert eine abteilungs-übergreifende und meist zeitaufwändige Kooperation.

Grund dafür ist der als zu hoch angesehene Implementierungsaufwand. Oft liegen die Kenntnisse über die Details der zu schützenden Applikationen und Prozesse sowie das Wissen um die übrige IT- und Security-Infrastruktur nicht bei ein und derselben Person. 

Die Erstellung von Sicherheits-Regelwerken erfordert hier also eine abteilungsübergreifende und meist zeitaufwändige Kooperation. Abhilfe schaffen hier Lösungen, die über einen Selbstlernmodus verfügen. Hierbei werden die zu schützenden Applikationen, deren Antwortverhalten sowie die Zugriffe durch Nutzer analysiert und ein dementsprechendes Basis-Regelwerk vorgeschlagen. 

Dieses kann dann sukzessive ergänzt werden. Auf diese Weise wird eine schnelle Wirksamkeit von Schutzmechanismen ebenso gewährleistet wie die Verfügbarkeit der Web-Anwendungen selbst.

Lösungsansätze

Eine gewissenhafte Analyse von Abhängigkeiten zwischen kritischen Geschäftsprozessen und den dahinterliegenden Web-Diensten ist enorm wichtig. Häufig kommt es dann zu einem mehrstufigen Ansatz: Einsatz einer Web Application Firewall, dedizierter Schutz von XML-Services und Beschleunigung der Web-Anwendungen. 

Aus Sicht des Betreibers sind hier integrierte Lösungen ideal, die die genannten Schutz- und Optimierungs-Maßnahmen kombiniert zur Verfügung stellen. Dies erspart Zeit für Einarbeitung und Konfiguration, da nur eine einzige Benutzeroberfläche und Nomenklatur zu erlernen ist. Überdies gewährt eine nahtlose Integration der verschiedenen Module höhere Transparenz auch hinsichtlich der Wirksamkeit der Maßnahmen, bessere Performance und deutlich geringere Kosten für Betrieb und Updates.

Über den Autor:
Jörg von der Heydt verantwortet seit 2008 den Fortinet Channel sowie das Marketing in Deutschland. Durch seine langjährige Tätigkeit bei Check Point, Nokia und Smarttrust verfügt er über exzellentes Know-how der IT-Security-Landschaft. Aber auch mit dem klassischen IT-Systemhaus-Business ist er durch nationale und internationale Projekte – unter anderem bei Unisys – bestens vertraut.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close