Ratgeber

Web Application Firewalls: Sicherer Schutz für Web-Apps

(Grafik: Shutterstock / manop)

Mit SaaS und Cloud-Computing steigt das Bedrohungspotenzial auf Web-Anwendungen. Web-Application-Firewalls analysieren die übertragenen Daten zwischen Clients und Servern. Doch welche Anbieter sind empfehlenswert? Eine Marktübersicht.

Injection-Angriffe, Cross Site Scripting (XSS), Cookie Poisoning, Cross Site Request Forgery (CSRF), Remote File Inclusion (RFI), Session ­Hijacking, Buffer Overflows, DDoS-Attacken (Distributed Denial of Service) oder einfach nur klassischer Spam: Wer eine kommerzielle Website oder Web-Anwendung betreibt, die in der Cloud weltweit für jeden öffentlich zugänglich ist, wird früher oder später Ziel eines solchen Angriffes sein. Wer glaubt, seine Web-App sei zu klein oder unbekannt, um ins Visier von Cyberkriminellen zu geraten, der täuscht sich. Zum einen laufen solche Attacken oft vollkommen automatisiert ab. Ob es dabei also einen großen, namhaften Konzern oder einen Hobbyblogger trifft, kann für den Hacker vollkommen egal sein. Zum anderen kann sich ein Angriff auf ein kleines Unternehmen für viele Cyberkriminelle rentieren. Die allermeisten von ihnen verfügen nämlich nicht wie große Organisationen über das Know-how und die notwendigen Ressourcen, um die groß angelegten Cyberattacken durchzuführen, von denen wir immer wieder in den Medien hören. Ein Angriff auf ein kleineres, weniger abgesichertes Unternehmen ist hier unter Umständen lukrativer. Solche vermeintlich unspektakulären Sicherheitsvorfälle geschehen jeden Tag ohne Medienaufmerksamkeit – und jeder kann dabei zum Opfer werden.

Gefährliche Requests automatisch blockieren

Um ihre Systeme vor solchen Attacken zu schützen, greifen führende Softwarehersteller auf Web-Application-Firewalls (WAF) zurück. Denn eine traditionelle Firewall mit den üblichen Regeln für IP-Adressen und Ports kann keinen wirksamen Schutz für öffentlich zugängliche Webserver bieten, da der Datenaustausch ja gewünscht und meist auch ungefährlich ist. Eine WAF dagegen wird zwischen dem Server und der Netzwerk-Firewall installiert und kann in der Regel nicht nur eine, sondern mehrere Web-Anwendungen gleichzeitig absichern. Sie untersucht die Anfragen an den Webserver und deren Antworten anhand von Sicherheitsregeln, die auf Anwendungsebene evaluiert werden, und kann darin auffällige Muster und böswilligen Code erkennen. So können bekannte Angriffe wie zum Beispiel ­SQL-Injection- oder XSS-­Attacken (Cross Site Scripting), aber auch ungültige oder dubiose Serverrequests blockiert werden, bevor sie überhaupt zum Server gelangen.
Darüber hinaus sorgen WAF für Schutz vor bekannten Sicherheitslücken in den Systemen, auf denen die Web-Anwendungen aufbauen, so zum Beispiel Content-Management-Systeme wie WordPress und Joomla oder Anwendungsframeworks wie ­Django, Spring und andere. Praktisch dabei: WAF versetzen Unternehmen in die Lage, Angriffe auf solche Komponenten zu unterbinden, ohne sie selbst patchen zu müssen. Das ist zum Beispiel dann hilfreich, wenn eine neue Vulnerability identifiziert wird, für die es noch keinen Patch gibt. Dann können die Administratoren ihre WAF-Regeln so anpassen, dass Angriffe auf die neuentdeckte Sicherheitslücke blockiert werden (Virtual Patching).

Cloud-Deployments setzen sich weiter durch

Was das Deployment der WAF-Lösung angeht, stehen Anwendern verschiedene Optionen zur Auswahl. Eine WAF kann nämlich als Hardware oder Virtual Appliance, als Server, als ­Server-Plugin oder als ­cloudbasierter Service betrieben werden. Wie das ­Analystenhaus Gartner in seinem aktuellen ­„Magic Quadrant for Web Application Firewalls“ erklärt, wächst der WAF-Markt stetig. Zwei der wichtigsten Gründe dafür seien die steigende Anzahl von Web-Anwendungen, die geschützt werden müssen, und die zunehmenden Cyber-Angriffe auf diese Anwendungen. Vor diesem Hintergrund hat sich die Funktionalität der WAF verändert. In der PC-Ära setzten primär größere Unternehmen leistungsstarke und teure Hardware-Appliances ein, um ihre kritischen Geschäftsanwendungen zu schützen. Heute bieten ­dutzende Hersteller unterschiedliche Lösungen für On-Premise-, Cloud- und Hybriddeployments an, die mit unterschiedlichen ­Extras aufwarten.
Interessant dabei: Das seit Jahren auf dem Markt beobachtete Wachstum wird laut Gartner in erster Linie durch moderne ­cloudbasierte WAF-Lösungen vorangetrieben. Diese würden einen umfassenden Schutz der Enterprise-Klasse bieten und gleichzeitig kostengünstig und leicht zu implementieren sein. Im Vergleich zu On-Premise-­Firewalls veralten sie nicht und erfordern keine eigene Aktualisierung von Regeln, um Schutz vor neuen Bedrohungen zu gewährleisten. Bis zum Jahr 2020, so die Analysten weiter, werden mehr als 50 Prozent der öffentlich zugänglichen Web-Anwendungen durch ­WAF-Plattformen aus der Public Cloud geschützt. Heute seien es weniger als 20 Prozent.

Etablierte Sicherheitsanbieter wie Barracuda Networks, Citrix oder F5, die bereits in der PC-Ära WAF als Hardware­appliances verkauften und als Marktführer im Enterprise-Sektor galten, bieten inzwischen verschiedene Cloud-Deployment-Optionen wie Managed-­Hosting und SaaS. Sie müssen sich nun aber sowohl gegen die Cloudriesen Amazon, Microsoft und Google, die eigene WAF-Produkte in ihr IaaS-Angebot (Infrastructure as a Service) aufgenommen haben, als auch gegen Enterprise-Startups wie Cloudflare, Fastly oder Wallarm, die sich auf Web-Security-­Lösungen für die Cloud-Ära fokussieren, durchsetzen. Die Lösungen dieser und weiterer Anbieter adressieren insbesondere kleine und mittelständische Unternehmen.

Plug & Play: Cloudflare

Cloudflare eignet sich als kostengünstige und einfach zu bedienende Variante als Einstieg für diejenigen, die bisher noch keine WAF einsetzen. 2009 im Silicon Valley gegründet hat sich das Unternehmen zu einem der wichtigsten CDN-Provider ­(Content Delivery Network) entwickelt. Neben diesem Service bietet Cloudflare aber auch eine ganze Reihe von Websicherheitslösungen, darunter ein ­WAF-Produkt, das nach Herstellerangaben etwa drei Millionen Anforderungen pro Sekunde verarbeitet. Wie der Anbieter erklärt, wird der Großteil der Bedrohungen in seinem Netzwerk hauptsächlich durch die Regeln abgeschwächt, die das Sicherheitsteam des Unternehmens als Reaktion auf neue Bedrohungen selbst schreibt und zusammenstellt (Cloudflare Rulesets). Hinzu kommen weitere vordefinierte Regeln, die vom OWASP-Projekt (Open Web Application Security Project) definiert und in der Cloudflare WAF integriert werden (OWASP Top 10 Threat Protection). Diese sollen Kunden vor den zehn am weitesten verbreiteten Bedrohungen schützen, ohne dass ihre Anwendungen modifiziert werden müssen. Diese Features sind bereits im Pro-Plan für Einsteiger erhältlich, der 20 US-Dollar pro Monat kostet. Darin sind aber neben dem WAF-Produkt auch ein globales CDN und weitere Web-Performance-Tools enthalten.

Wer seine eigenen Regeln erstellen möchte, muss auf den ­Business-Plan zurückgreifen, der bei 200 US-Dollar im Monat wesentlich teurer ist. Kundenspezifische Regeln (maximal 25) lassen sich allerdings nicht direkt im Webdashboard anlegen, sondern müssen per Supportticket an Cloudflare gemeldet werden, was nicht gerade praktisch ist. Wenn ein Kunde eine neue benutzerdefinierte WAF-­Regel anfordert, analysiert das Unternehmen, ob diese für all ihre Kunden-Domains gilt. Ist das der Fall, so wendet Cloudflare die neue Regel für all seine Kunden an.
Weitere WAF-Lösungen für Einsteiger, die professionellen Schutz vor bekannten Sicherheitslücken und häufigen Internet-Bedrohungen bieten, sind Stackpath, Sucuri Firewall, Fastly und Incapsula.

Mit der cloudbasierten WAF von Cloudflare lassen sich XSS-Attacken automatisch blockieren, bevor sie die Anwendung erreichen. (Screenshot: Cloudflare)

Incapsula

Incapsula wird von Imperva angeboten, einem Anbieter von Daten­sicherheitslösungen, der in Kalifornien sitzt, und von Gartner als Marktführer im WAF-Segment eingestuft wird. Mit Preisen, die bei rund 55 Euro pro Monat anfangen, stellt der Service eine professionelle Cloudflare-Alternative dar, die mit verschiedenen Tarifen und Featuresets ebenfalls sowohl Einsteiger als auch an Profis andressiert ist. Der Einsteigerplan beinhaltet alle Standard-Features, die bei einer modernen WAF nicht fehlen dürfen, hierzu zählen vor allem automatische Sicherheitsregeln und Tools zur Zugangskontrolle wie ­White- und Blacklisting. Das ­Whitelisting blockiert jeden Datenverkehr, außer dem, den die IT-Mitarbeiter ausdrücklich zulassen. Das Blacklisting lässt indes alle Daten durch, die man nicht ausdrücklich verboten hat. Ferner kann man Serveranfragen anhand von Ländercodes, ­IP-Adressen und weiteren Parametern blockieren. Dabei wartet ­Incapsula mit einer leistungsstarken Rule Engine auf, die die ­flexible Erstellung von Sicherheitsrichtlinien erlaubt. So sollen Anwender die vollständige Kontrolle darüber erhalten, welche Benutzer oder Bots auf ihre Applikation zugreifen können und welche nicht. Dieses zentrale Incapsula-Feature ist allerdings auch nur im ­Enterprise-Tarif erhältlich. Preise gibt es nur individuell auf Anfrage.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung