Web Application Firewall: Vor- und Nachteile einer WAF

Der Einsatz einer Web Application Firewall (WAF) kann die Sicherheitsstrategie eines Unternehmens kompliziert werden lassen.

Um Web Application Firewalls (WAF) hat in den Medien zuletzt reichlich positiven Rummel gegeben. Dabei darf aber nicht vergessen werden, dass diese Geräte nur eine von mehreren Komponenten einer soliden Sicherheitslösung für Netzwerk in Unternehmen sein sollten. Und selbst dann müssen Benutzer noch beachten, dass mit einer WAF viele Probleme einhergehen können.

Im Management herrscht oft die falsche Ansicht vor, dass alles im Netzwerk in Ordnung ist, solange es eine Firewall gibt. Diese Fehleinschätzung wird durch cleveres Marketing der Anbieter noch verstärkt: WAFs werden als der Königsweg aller Lösungen angepriesen - als die Lösung, die alle Anforderungen des Standards PCI-DSS erfüllt. Realistisch betrachtet verhält es sich bei WAFs jedoch wie bei allen anderen Perimeter-orientierten Sicherheitsgeräten: Sind sie nicht ordnungsgemäß konfiguriert, um alles zu schützen, was wichtig ist -- sowohl nach außen gerichtet als auch im LAN - besteht die Gefahr, dass sie ein falsches Gefühl der Sicherheit erzeugen.

WAFs können durchaus dafür sorgen, dass Web-basierte Malware in Ihrer Umgebung nicht Fuß fassen kann. Sie hindern Übertäter außerdem daran, Schwachstellen auf Layer 7 auszunutzen, wodurch sich wiederum ein weiteres Eindringen in Ihr Netzwerk verhindern lässt. Doch WAFs geben auch Anlass zu einigen Bedenken.

Das Problem mit dem Einsatz von Web Application Firewalls

Das bemerkenswerteste Problem bei WAFs besteht darin, dass sie bestimmte Arten von Angriffen nicht blockieren, die sie angeblich blockieren sollen. WAFs, so heißt es, erkennen Angreifer, die Tools für Penetrationstests wie etwa Metasploit verwenden. Mit solchen Tools wird versucht, auf einem nicht gepatchten Web-Server Zugriff auf eine Remote-Eingabeaufforderung zu erhalten oder Exploit-Code herunterzuladen und zu kompilieren, der einen Pufferüberlauf bei einer Instanz von OpenSSL auslöst. Dies jedoch trifft – insbesondere bei Angriffen über SSL – nicht unbedingt zu.

WAFs können ferner dazu missbraucht werden, bekannte Sicherheitsprobleme zu vertuschen, ohne sie zu lösen. Beispielsweise gab es kürzlich einen Fall, in dem jemand ein WAF dazu verwenden wollte, eine SQL-Injection-Lücke zu verschließen. Kurzfristig mag das in Ordnung sein, aber die eigentliche Anfälligkeit wird durch virtuelles Patching nicht beseitigt. Tatsächlich kann ein solches Vorgehen dazu führen, dass Probleme gewohnheitsmäßig kaschiert und größere Sicherheitsprobleme auf lange Sicht ignoriert werden.

Gibt es Alternativen zu Web Application Firewalls?

Wenn Sie in Erwägung ziehen, eine WAF in Ihre Umgebung aufzunehmen, sollten Sie zunächst überlegen, was verfügbar ist. Ein weiteres physisches Gerät hinzuzufügen, bedeutet mehr Komplexität, und die ist stets der Feind der Sicherheit. Bei vielen Basis-Firewalls ist die HTTP-Inspektion schon integriert. Finden Sie also heraus, ob sich WAF-artige Funktionalität vielleicht einfach einschalten lässt. Ich habe sogar schon erlebt, dass WAF-Funktionen bereits aktiviert waren und der Benutzer dies schlichtweg nicht wusste. Manchmal können WAF-Funktionen auch als separates Modul zu einer vorhandenen Firewall hinzugefügt werden.

Maßnahmen beim Einsatz von Web Application Firewalls

Durch bloßes Einschalten der WAF-Funktionen haben Sie Ihr Netzwerk noch lange nicht bis in den letzten Winkel geschützt. Zur Optimierung der Konfiguration müssen Sie die Plattformen, auf denen Ihre Web-basierten Systeme laufen, gut verstehen. Dies schließt auch jene Systeme ein, die von jemand anderem verwaltet werden und von denen Sie im Detail keine Kenntnis haben. Sie müssen zudem die geschäftliche Logik Ihrer Web-Anwendungen verstehen. Positivlisten und Verhaltensanalyse-Techniken, wir sie in manchen WAFs zu finden sind, eignen sich hervorragend zur Erstellung von granularen Anwendungsprofilen. Der Prozess kann sich jedoch als schwierig und komplex erweisen.

Folgender Ansatz kann bei der Feinabstimmung des Schutzes bessere Dienste leisten: Schaffen Sie sich einen Scanner auf Web-Sicherheitslücken an, beispielsweise Acunetix Web Vulnerability Scanner oder WebInspect, und richten Sie Testfälle mit und ohne WAF-Schutz ein. Sobald alles eingerichtet ist, nehmen Sie am besten eine umfassende Bewertung der Web-Anfälligkeit mit automatisierten Scans und manuellen Analysen vor.

Insgesamt ist es wichtig, alles möglichst einfach zu halten. Vielleicht können Sie einfach auf WAF-Kontrollen in Ihren vorhandenen Firewalls zurückgreifen. Vielleicht müssen Sie auch die Lösungen verschiedener Anbieter ausprobieren, um diejenige zu finden, die am besten zu Ihrem Modell und den Anforderung Ihres Unternehmens passt. Solche Vorarbeiten können aber auch darauf hinauslaufen, dass WAF bei Ihnen gar nicht zum Einsatz kommt – jedenfalls noch nicht jetzt.

Über den Autor: Kevin Beaver ist Berater für Informationssicherheit, Sachverständiger und professioneller Redner bei der in Atlanta ansässigen Principle Logic, LLC mit mehr als 21 Jahren Branchen-Erfahrung. Beaver ist spezialisiert auf unabhängige Sicherheitsbewertungen mit dem Schwerpunkt Information Risk Management und Autor bzw. Co-Autor von acht Büchern über Informationssicherheit, darunter The Practical Guide to HIPAA Privacy and Security Compliance und Hacking For Dummies in der aktualisierten, dritten Ausgabe. Von ihm stammt außerdem das Konzept für die Hörbücher über Informationssicherheit der Reihe Security On Wheels und der gleichnamige Blog, in dem sich mobile IT-Profis über Sicherheit auf dem Laufenden halten können. Sie erreichen Beaver unter www.principlelogic.com oder können ihm unter @kevinbeaver auf Twitter folgen.

Artikel wurde zuletzt im Februar 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close