Grundschutz für Web-Applikationen

Proaktiver Schutz mit WAFs

Web Application Firewalls (WAFs) sollen auf Anwendungsebene, ganz ohne Eingriff in die Web-Applikation, dafür sorgen, dass Hacker keine Chance haben. Hauptaufgabe der WAFs ist laut Owasp, durch Penetrationstests oder Sourcecode-Audits aufgespürte Sicherheitslücken in produktiven Web-Anwendungen möglichst schnell abzudichten. Eine WAF arbeitet damit vollkommen anders als die Netzwerk-Firewall, die primär nur analysiert, woher Datenpakete kommen und wohin sie geschickt werden. Eine WAF, die auf sämtliche vom Browser an den Web-Server geschickten Daten zugreifen kann, interpretiert hingegen den Datenfluss. So kann sie Anfragen mit verdächtigem Inhalt unterbinden.

Suspekte Aktionen erkennt eine WAF ähnlich wie Virenscanner mittels Regeln, Signaturen oder auch integrierten heuristischen Verfahren. Mittlerweile arbeiten auch WAFs meist nicht mehr nur mit einer Blacklist, die anhand bekannter Angriffsmuster nachweislich bösartige Anfragen unterbindet. Sie nutzen auch Positivlisten, mit deren Hilfe alles abgelehnt wird, was das Regelwerk nicht explizit erlaubt. So kann sie auch unbekannte Attacken abwehren.

Verschiedenste Lernmodi, die es ermöglichen sollen, die aufwändige Pflege der Whitelists weitgehend zu automatisieren, sind zumindest bei führenden Anbietern im WAF-Segment wie Citrix, Barracuda Networks (nach der Übernahme von Netcontinuum) oder auch F5 mittlerweile Standard. Diese Hersteller vereinen in ihren Gateways WAFs mit Funktionen wie Load-Balancing und Caching. "Es gibt sowohl statische Lernfunktionen, die den Administrator vor der Inbetriebnahme schützen, als auch dynamische Modi, die während der Laufzeit die individuelle Benutzer-Session verfolgen und Zustände zu vorhergehenden Zeiten mit Zuständen zu nachfolgenden Zeiten vergleichen", so Security-Spezialist Strobel.