Der direkte Zugang in interne Firmennetze ist Hackern inzwischen weitestgehend verbaut. Firewalls und Intrusion Detection wehren die früher noch erfolgreichen Angriffe sicher ab. Doch Web-Anwendungen bieten den Hackern zunehmend die Chance, an sensible Daten zu gelangen.
Die für das Internet konzipierten Anwendungen bieten jede Menge an Angriffsfläche. Oft genügen dem Angreifer schon das Einschleusen von SQL-Kommandos über frei zugänglich Formularfelder oder die simple Manipulation von Parametern in der URL, um an interne Daten zu gelangen. Mit komplexeren Angriffsmethoden wie beispielsweise Cross-Site-Scripting und Session-Hijacking nutzen Kriminelle gezielt Problemzonen in der Web-Applikation selbst aus. Klassische, auf die Absicherung der Transportschichten konzentrierte Schutzvorkehrungen wie Firewalls und Intrusion-Detection/Prevention-Systeme (IDS/IPS) greifen hierbei nicht.
Experten führen das Gros der Schwachstellen in Web-Anwendungen darauf zurück, dass das http-Protokoll nicht für die heute üblichen Applikationen konzipiert wurde. So müssen etwa aufgrund des zustandslosen Übertragungsprotokolls Sessions beziehungsweise Zustände der Anwendungen eigens definiert und sicher implementiert werden. Zusätzliche Angriffsflächen, so die mit dem Thema Web Application Security (WAS) befasste Non-Profit-Community "Open Web Application Security Project" (Owasp), entstehen durch die Komplexität der Web-Script-Sprachen und Application-Frameworks.
Grundsätzlich sollte die Absicherung einer Web-Anwendung bereits in der Design- beziehungsweise Entwicklungsphase beginnen. Worauf es dabei ankommt, versucht das Owasp Web-Entwicklern unter anderem mit seiner jährlich aktualisierten Liste "The Ten Most Critical Web Application Security Vulnerabilities" nahezubringen. Doch "sichere" Programmierung allein reicht nicht.
"Natürlich ist es immer erstrebenswert, durch sichere Entwicklung Fehler von vornherein zu vermeiden - ganz auszuschließen sind Schwachstellen jedoch nie", gibt Stefan Strobel, Geschäftsführer des auf Applikationssicherheit spezialisierten Unternehmens Cirosec, zu bedenken. Aber auch regelmäßige Sourcecode-Audits, um Fehler in bereits bestehenden Anwendungen aufzuspüren und zu beheben, sind nach Erfahrung des Experten kein Allheilmittel. "Wir haben in Bankenapplikationen im Zuge von Audits Schwachstellen gefunden, deren Behebung im Endeffekt bis zu einem Dreivierteljahr in Anspruch genommen hat - unter anderem, weil sich dabei wieder neue Fehler eingeschlichen haben", beschreibt der Berater. Während dieser Zeit ist die Anwendung angreifbar.
Proaktiver Schutz mit WAFs
Web Application Firewalls (WAFs) sollen auf Anwendungsebene, ganz ohne Eingriff in die Web-Applikation, dafür sorgen, dass Hacker keine Chance haben. Hauptaufgabe der WAFs ist laut Owasp, durch Penetrationstests oder Sourcecode-Audits aufgespürte Sicherheitslücken in produktiven Web-Anwendungen möglichst schnell abzudichten. Eine WAF arbeitet damit vollkommen anders als die Netzwerk-Firewall, die primär nur analysiert, woher Datenpakete kommen und wohin sie geschickt werden. Eine WAF, die auf sämtliche vom Browser an den Web-Server geschickten Daten zugreifen kann, interpretiert hingegen den Datenfluss. So kann sie Anfragen mit verdächtigem Inhalt unterbinden.
Suspekte Aktionen erkennt eine WAF ähnlich wie Virenscanner mittels Regeln, Signaturen oder auch integrierten heuristischen Verfahren. Mittlerweile arbeiten auch WAFs meist nicht mehr nur mit einer Blacklist, die anhand bekannter Angriffsmuster nachweislich bösartige Anfragen unterbindet. Sie nutzen auch Positivlisten, mit deren Hilfe alles abgelehnt wird, was das Regelwerk nicht explizit erlaubt. So kann sie auch unbekannte Attacken abwehren.
Verschiedenste Lernmodi, die es ermöglichen sollen, die aufwändige Pflege der Whitelists weitgehend zu automatisieren, sind zumindest bei führenden Anbietern im WAF-Segment wie Citrix, Barracuda Networks (nach der Übernahme von Netcontinuum) oder auch F5 mittlerweile Standard. Diese Hersteller vereinen in ihren Gateways WAFs mit Funktionen wie Load-Balancing und Caching. "Es gibt sowohl statische Lernfunktionen, die den Administrator vor der Inbetriebnahme schützen, als auch dynamische Modi, die während der Laufzeit die individuelle Benutzer-Session verfolgen und Zustände zu vorhergehenden Zeiten mit Zuständen zu nachfolgenden Zeiten vergleichen", so Security-Spezialist Strobel.
Links überprüfen
Die Dynamik lässt sich beispielsweise über eine Statustabelle im Hauptspeicher der WAF erzielen, die sich alle aus der zu schützenden Web-Anwendung ausgehenden Links beziehungsweise URLs "merkt" und nur die registrierten zulässt. Der Schweizer WAF-Anbieter Visonys wiederum realisiert dies in seinem als Software-Appliance konzipierten Produkt "Airlock" mittels URL-Verschlüsselung.
Dabei analysiert Airlock alle aus der Web-Applikation kommenden HTML-Dokumente auf dem Weg zum Benutzer und chiffriert die darin befindlichen Links, so dass sie nicht mehr modifizierbar sind. "Man muss also nur einen einzigen unverschlüsselten Einstiegspunkt definieren - in der Regel die Startseite. Alle weiterführenden Links, Dokumente sowie sämtliche Navigationspfade innerhalb der Web-Anwendung sind dann verschlüsselt -und zwar nicht nur auf Verbindungsebene wie bei einer SSL-Verschlüsselung, sondern die URL beziehungsweise die in der Browser-Zeile sichtbare Adresse selbst", erläutert Daniel Estermann, Geschäftsführer bei der Visonys Deutschland GmbH, das Funktionsprinzip.
Laut Thomas Schreiber, Geschäftsführer bei der auf Web-Applikationssicherheit spezialisierten Securenet GmbH, lassen sich mittels URL-Verschlüsselung gleich mehrere Übel an der Wurzel packen und eine ganze Klasse von Angriffsformen auf die Session-ID, etwa Session-Hijacking, -Fixation,- Denial-of-Service sowie -Riding, verhindern helfen. Auch könnten damit die Möglichkeiten der URL-Parameter-Manipulation, die Angreifern etwa dazu dienen können, sich höhere Zugriffsrechte zu verschaffen, deutlich eingeschränkt werden.
Best-of-Breed statt All-in-one
Dieses Feature hat mittlerweile auch Art of Defence seiner WAF-Lösung "Hyperguard" spendiert. Die Schutzsoftware des Regensburger Unternehmens stellt in gewisser Weise einen Exoten unter den in der Regel vor den Web-Servern platzierten, als Softwarelösungen oder Hardware-Appliances konzipierten WAFs dar: Das Host-basierende Hyperguard lässt sich als Plug-in direkt im Web-Server installieren, kann aber auch in anderen Wirtssystemen wie Load Balancern (ZXTM von Zeus Technology), Reverse Proxys (etwa Microsoft ISA-Server) oder als Add-on in Netz-Firewalls (Genuscreen von Genua) sitzen. "Wir versuchen, das Thema Web Application Security als Best-of-Breed-Lösung für den Kunden dort abzubilden, wo er es haben möchte", beschreibt Georg Heß, CEO bei Art of Defence, den WAF-Ansatz seines Unternehmens.
Ziel sei es, den sehr unterschiedlichen Ausgangssituationen und Zukunftsvisionen in den Unternehmen gerecht zu werden. Als Vorteile des Plug-in-Prinzips insbesondere für schnell wachsende, verteilte Infrastrukturen hebt Heß die einfache Installation sowie hohe Skalierbarkeit von Hyperguard hervor. Zudem soll es das "Application Defence Center" der WAF ermöglichen, sämtliche, selbst nicht inhouse befindliche, sondern auf Rechenzentren verschiedener Partnerunternehmen verteilte Hyperguard-Instanzen zentral zu überwachen und zu verwalten. "Dies ermöglicht es Unternehmen, den Überblick über dezentrale Strukturen zu bewahren und ihre Web-Applikationen separat im Blick zu behalten."
Neben dem grundsätzlichen Schutz gegen Hacker-Attacken auf Anwendungsebene bieten heutige WAFs auch applikationsübergreifende Sicherheitsdienste wie beispielsweise Single-Sign-on-Möglichkeiten (SSO) mit vorgelagerter Authentifizierung - so etwa Visonys Airlock. Die Integration der Authentifizierung in die WAF ermögliche neben zusätzlicher Sicherheit Kosteneinsparungen bei der Applikationsentwicklung, da diese nicht mehr jeweils eigens implementiert werden müsse, so Visonys' Deutschland-Chef Estermann. Als weiteres Beispiel für Aufgaben, die sich zentral an eine WAF delegieren lassen, nennt Securenet-Experte Schreiber die Abwehr so genannter Data-Mining-Angriffe, sprich: den Schutz vor dem ungewünschten Auslesen der gesamten Datenbank durch das Senden Tausender Requests mit jeweils variierendem Parameter. (ala)