Web Application Firewall

Angriffe, vor denen eine WAF Schutz bieten soll:

• „Injection“-Angriffe
  • Command Injection
  • LDAP Injection
  • Script Injection
  • SQL Injection
  • XPath Injection
• Cross-Site Scripting (XSS)
• Hidden Field Tampering
• Parameter Tampering
• Cookie Poisoning
• Pufferüberlauf­angriffe
• Forceful Browsing
• Unberechtigter Zugriff auf Web-Server
• Bestimmte bekannte Verwundbarkeiten von Web-Anwendungen

Die WAF untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff unterbunden. Zur Klassifizierung gefährlicher oder verbotener Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application Security Scanner eingesetzt. Dieser analysiert, oft im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen. Alternativ werden durch eine Art Crawler oder auch Application Security Scanner die Webseiten der Webapplikation angesteuert und enthaltene Formularfelder durchprobiert. Die Applikation läuft in dem Fall in einer Art passivem Modus, das heißt, erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten. Der Administrator kann anhand der Logdatei sehen, welche Aktionen in einem scharfen Betrieb blockiert würden, und kann diese bei Bedarf selektiv freischalten, indem er Sonderregeln einrichtet. Die konkreten Verfahren variieren von Anbieter zu Anbieter.

Sind beispielsweise zwei Parameter für ein untersuchtes Formular definiert, kann die WAF alle Requests blockieren, die drei oder mehr Parameter enthalten. Ebenso kann die Länge und der Inhalt der Parameter geprüft werden. Durch die Spezifikation allgemeiner Regeln über die Parameter-Beschaffenheit, z. B. der maximalen Länge und des erlaubten Wertebereichs, können Angriffe verhindert oder für den Angreifer erschwert werden.

Es gibt verschiedene Arten von Web Application Firewalls (WAFs), die sich durch ihre Integration in die Netzwerk- und Servertopologie unterscheiden:

1. Reverse Proxy: Eine WAF kann als Reverse Proxy konfiguriert werden, wodurch sie den gesamten eingehenden Webverkehr abfängt und analysiert, bevor dieser den Webserver erreicht. Diese Art ermöglicht es, alle Anfragen zu überprüfen und Sicherheitsmaßnahmen anzuwenden, bevor der Datenverkehr an die Webanwendung weitergeleitet wird.^[2]
2. Standalone Appliance: Diese WAFs sind eigenständige Geräte, die vor dem Webserver in der Netzwerkarchitektur platziert werden. Sie sind dedizierte Hardwarelösungen, die speziell für die Überwachung und den Schutz von Webanwendungen entwickelt wurden. Solche Appliances bieten oft umfangreiche Funktionen und können hohe Verkehrsvolumen verarbeiten.^[3]
3. Direkt im Webserver integriert: Einige WAFs sind direkt in den Webserver integriert oder als Modul verfügbar, wie zum Beispiel bei Hiawatha. Diese Integration ermöglicht eine enge Verbindung zwischen der Webanwendung und den Sicherheitsfunktionen der WAF.^[4]
4. Plugin für Webserver: WAFs können als Plugins für Webserver wie Apache oder Nginx implementiert werden. Diese Plugins erweitern die Funktionen des Webservers um Sicherheitsfeatures, die speziell für den Schutz der Webanwendung entwickelt wurden.^[5]
5. Passives Gerät (IDS): In manchen Fällen wird eine WAF als Intrusion Detection System (IDS) eingesetzt, das den Verkehr passiv überwacht, ohne direkt in den Datenstrom einzugreifen.^[6]

• Mehrere Ebenen des Schutzes (zusätzlicher Schutz zu vorhandenen Filtern in der Anwendung)
• Sicherheitslücken können gleichzeitig für mehrere Anwendungen hinter der WAF geschlossen werden
• Schutz von Anwendungen, die nicht mehr aktualisiert werden können (Altsysteme)
• Möglichkeit zum Schutz von verwundbaren Anwendungen anderer Anbieter, bis dieser sie selber repariert

• Sicherheitslücken können u. U. durch ein Umgehen der WAF weiterhin ausgenutzt werden
• Durch Unterschiede bei der Request-Bearbeitung sind neue Angriffe möglich (beispielsweise HTTP Request Smuggling)
• Störung des Betriebs durch zu restriktive oder falsch konfigurierte Filter
• Anwendungen, die aktive Inhalte auf Seiten des Clients einsetzen (z. B. JavaScript) werden schlecht unterstützt oder erfordern einen erheblichen Konfigurationsaufwand
• Der Einsatz einer WAF kann zu Unachtsamkeit bei der Entwicklung der Anwendung verleiten – eine WAF ist jedoch kein Ersatz für eine sichere Anwendung

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Sicherheit von Webanwendungen - Maßnahmenkatalog und Best Practices
• Best Practices - Einsatz von Web Application Firewalls (Guide der deutschen OWASP Sektion) (PDF-Datei; 163 kB)
• Web Application Firewall Evaluation Criteria (englisch)
• JavaMagazin zum Thema "Web Application Security" Teil 1 (Memento vom 18. Oktober 2009 im Internet Archive)

Teil 2 (Memento vom 18. Oktober 2009 im Internet Archive)

Teil 3 (Memento vom 18. Oktober 2009 im Internet Archive)

Teil 4 (Memento vom 18. Oktober 2009 im Internet Archive)

1. ↑ What is a WAF? | Web Application Firewall explained. In: Cloudflare. Abgerufen am 18. Juni 2023 (englisch). 
2. ↑ Was ist ein Reverse-Proxy | Erklärung von Proxyservern - Kemp. Abgerufen am 9. August 2024. 
3. ↑ Standalone Appliance. Abgerufen am 9. August 2024 (amerikanisches Englisch). 
4. ↑ Hiawatha-webserver.org. Abgerufen am 9. August 2024. 
5. ↑ Web application firewall. In: Wikipedia. 15. Juli 2024 (wikipedia.org [abgerufen am 9. August 2024]). 
6. ↑ Was ist ein Intrusion Detection System (IDS)? - Check Point-Software. Abgerufen am 9. August 2024 (deutsch).