Die Frage „Was ist eine WAF?“ hören wir immer wieder, denn nicht jedem ist der Unterschied zwischen einer Netzwerkfirewall und einer Web Application Firewall wirklich klar.
Netzwerkfirewall
Eine Netzwerkfirewall prüft, ob Netzwerkverbindungen zulässig sind und (bei modernen Varianten) prüft auch den Inhalt der Datenpakete, die übermittelt werden. Dieses Vorgehen sperrt unerwünschten Datenverkehr aus und sorgt dafür, dass beispielsweise aus dem Internet heruntergeladene Dateien vor Betreten des Firmennetzes auf Schadsoftware geprüft werden.
Web Application Firewall
Eine WAF verhält sich komplett anders. Sie dient zum Schutz von Webanwendungen, genauer gesagt dem Zugriff auf die Webserver. Dazu dient die WAF als ein Art Relais (Reverse Proxy genannt) für den Server. Wenn Sie eine geschützte Webseite aufrufen, werden Sie auf die Web Application Firewall geleitet. Diese analysiert Ihre Anfrage und prüft diese beispielsweise auch auf Angriffsmuster, die Schwachstellen von Webseiten ausnutzen wollen. Die analysierte Anfrage wird dann an den Webserver geleitet, dessen Antwort dann wiederum von der WAF geprüft wird. So können beispielsweise Sozialversicherungsnummern oder Kreditkarteninformationen unkenntlich gemacht werden, obwohl die Anwendung selbst das gar nicht kann. Die „bereinigte“ Antwort liefert die WAF dann zurück.
Sie sehen schon, beide heißen Firewall, aber die Arbeitsweisen unterscheiden sich erheblich.
Wann kommt eine WAF zum Einsatz?
Da die WAF ein intelligenter Reverse-Proxy ist, kann sie beispielsweise folgende Tätigkeiten für die geschützte Applikation übernehmen:
- Absicherung von Anwendungen, die nur mit erheblichem Anpassungs- oder Entwicklungsaufwand zu schützen wären, z.B.
- Anwendungen, die bekannte Sicherheitslücken aufweisen, aber vom Hersteller nicht mehr gepflegt werden
- Anwendungen, die keine modernen oder gar keine Verschlüsselungsalgorithmen unterstützen
- Zusätzliche Authentifizierung vor den Aufruf der eigentlichen Webseite stülpen
- Cachen von Webseiteninhalten und dadurch Entlastung der eigentlichen Anwendung
- Sie kann als Verschlüsselungsendpunkt dienen, während die eigentliche Webanwendung aus Performancegründen mit einem einfacheren oder keinem Verschlüsselungsalgorithmus arbeitet
- Sie kann Dateien, die auf den Webserver hochgeladen werden, auf Schadsoftware prüfen
Ein prominentes Beispiel ist beispielsweise der Schutz von Microsoft Exchange-Servern: Da diese Server als Hochwertziele gelten und ein erfolgreicher Angriff massive Auswirkungen hat, empfehlen wir, keinen Exchange-Server, der bei Ihnen vor Ort im Netzwerk betrieben wird, ohne WAF aus dem Internet heraus erreichbar zu machen – selbst dann, wenn bereits eine Netzwerkfirewall existiert.
No responses yet