Immer wieder werden wir in Diskussionen verwickelt, warum man eigentlich eine Web Application Firewall (WAF) braucht. Schließlich – so die meisten Argumente – habe man schon eine Firewall, die das Netzwerk schützt.
Das ist möglicherweise nicht ganz so einfach zu sehen. Ich stelle hier einfach einmal gegenüber, wie sich eine klassische Firewall, eine Cloud Generation Firewall und eine WAF verhalten:
Beispiel: Ein Computer ruft eine Webseite über das http-Protokoll ab:
- Firewall
Die Firewall prüft, ob der entfernte Rechner über Port 80 auf den Server zugreifen darf - CloudGen Firewall
die CGF prüft, ob der entfernte Rechner zu diesem Zeitpunkt mit einem anonymen Nutzer über Port 80 auf den Webserver zugreifen darf, insofern er keine auffälligen Datensignaturen (bekannte Angriffsmuster wie z.B. Poodle) nutzt. - Die WAF prüft, ob der entfernte Rechner auf den Server via Port 80 zugreifen darf, wobei der HTML-Request analysiert und ggf. geblockt wird, falls Angriffsmechanismen wie XSS, SQL-Injections, SlowLorris, etc. entdeckt werden. Der Webserver wird NUR abgefragt, wenn der Request zu 100% in Ordnung ist bzw. den Regeln entspricht.
Wie arbeitet die Web Application Firewall?
Ich denke, dass dieses einfache Beispiel schon aufzeigt, dass wir ein Äpfel-Birnen-Bananenproblem haben. Während Netzwerkfirewalls je nach technischer Ausprägung mehr oder minder nur Pakete weiterleiten, fungiert eine WAF als Reverse-Proxy, der den direkten Zugriff auf einen Webserver unterbindet. Der Abruf wird immer geprüft und dann erst an den Webserver weitergeleitet. Dann – und das macht eben keine andere Firewall – wird auch die Antwort des Webservers noch einmal über den Proxy geschickt und von der WAF gegebenenfalls angepasst. Beispiele für von der WAF veränderte Antworten sind die X ersetzten Zahlen und Buchstaben von Kreditkarten-, Konto- oder Sozialversicherungsnummern.
All diese Mechanismen setzen jedoch auch fundierte Kenntnisse über Webtechnologien voraus. Der Admin muss z.B. wissen, wie ein HTML-Request funktioniert, damit dieser auch manipuliert werden kann, bzw. Manipulation verhindert wird.
Das Einsatzgebiet
Eine WAF kommt typischerweise dann zum Einsatz, wenn Webanwendungen geschützt werden müssen, was durch reine Codepflege viel zu teuer, zu Aufwendig oder beides wäre, z.B. Portale, Warenwirtschaftssysteme mit Internetanbindung, selbstentwickelte Shopysteme und ähnliches.
Im Zeitalter der DSGVO und drakonischer Maßnahmen im Falle eines Datenverlustes ist der Preis für die Anschaffung oder die Miete einer WAF tatsächlich neu zu bewerten. Es steht nun nicht mehr rein der Schaden durch Datenverlust im Vordergrund. Reputation und empfindliche Geldstrafen müssen mit in die Kalkulation einbezogen werden, ob die Investition in eine WAF lohnt.
Muss ich zum Abschluss noch betonen, dass eine WAF hinter eine Webfirewall gehört? Nach den vorausgegangenen Ausführung bestimmt nicht – oder?
Falls Sie Fragen zum Thema Web Application Firewall, WAF, WAF als Managed Service, WAF als Mietlösung, NextGen Firewalls oder CloudGen Firewalls haben, erreichen Sie uns
- per E-Mail an info@4s-ag.de
- über den Unten angezeigten Chat
- telefonisch unter 0631 303 3637
No responses yet