Web Application Firewalls in der Praxis

Das Firmennetz wird durch eine Netz-Firewall gesichert - doch schützt dies auch den Internet-Auftritt? Der dazugehörige Web-Server steht zwar in einer demilitarisierten Zone (DMZ) - doch wo liegen die Benutzer- und Transaktionsdaten des Shops, der zunehmend mehr Umsätze macht? Der Datenbank-Server, auf dem alle wichtigen Unternehmensprozesse zusammenlaufen, befindet sich meist im internen Netz. Genau das ermöglicht es Angreifern, über Schwachstellen in Internet-Auftritten bis in das Innerste von Firmennetzen vorzudringen. Mit Hilfe spezieller Techniken nutzen sie die zwingend erforderlichen Kommunikationspfade zwischen Internet, Web-Server und Datenbank aus, um Daten zu manipulieren und Zugriff auf vertrauliche Informationen zu erlangen.

Beinahe täglich werden neue Schwachstellen in viel genutzten Applikations-Frameworks bekannt, ergeben sich neue Manipulationsmöglichkeiten in verbreiteten Web-Applikationen, hört man von Datendiebstahl in großem Stil. Um so mehr verwundert es, dass so mancher für einen (verwundbaren) Internet-Auftritt Verantwortliche nachts noch Ruhe findet.

Aber die Firewall?

Eine klassische Netz-Firewall kann vor dieser Bedrohung nicht schützen. Sie kann lediglich anhand von Port-, Quell- und Zielinformationen einer Anfrage entscheiden, ob der Datenfluss erlaubt ist oder blockiert werden soll. Eine http-Anfrage aus dem Internet an den Web-Server ist natürlich erwünscht, und allein anhand der Quelladresse und des Protokolls ist nicht erkennbar, ob sie "böse" ist. Der Inhalt der Anfrage wird von Netz-Firewalls nicht untersucht. Das ist Aufgabe einer Web Application Firewall, kurz: WAF. Eine WAF untersucht die Anfragen an den Web-Server im Kontext der angefragten Applikation aufs Genaueste und blockiert Angriffe wie zum Beispiel SQL-Injection oder XSS-Attacken, bevor sie überhaupt zum Web-Server gelangen können. Darüber hinaus werden die als Antwort ausgelieferten Web-Seiten auf sensible Daten hin untersucht, die nicht nach außen gelangen sollen.