Web Application Firewall - Vor- und Nachteile

Vor- und Nachteile von Web Application Firewalls

Web Application Firewalls (WAF) bilden einen wirkungsvollen Schutz vor verschiedenen Arten von Angriffen auf Anwendungen. Auf Grund ihrer Ausrichtung sind WAFs besonders gut darin Zero-Day-Exploits, Cross-Site-Scripting und SQL Injection, IP Spoofing, Session Hijacking, Buffer-Overflow-Angriffe und sogar Identitätsdiebstahl zu verhindern. Zu diesem Zweck wird die Web Application Firewall zwischen die Anwendung beziehungsweise deren Netzwerkdienst und den Nutzer geschaltet. Basierend auf einem vorher definierten Regelwerk prüft die WAF nun in Echtzeit – oder mit nur geringfügigen Verzögerungen – alle Daten-Pakete, die zwischen beiden Parteien hin und her geschickt werden. Treten dabei Misstrauens erweckende Traffic-Muster auf, ist die Web Application Firewall zusätzlich in der Lage diese zu lernen und künftig darauf zu reagieren.

Bei all ihrer Leistungsfähigkeit sind Web Application Firewalls aber dennoch nicht perfekt. Wie auch Network Firewalls decken sie einen sehr spezifischen Bereich des OSI-Models (Open Systems Interconnection Model) ab – nämlich die Ebenen 4 bis 7, bei denen es um den Datentransfer geht. Dadurch allein wird schon klar, dass bei ausschließlicher Verwendung von WAFs trotzdem Sicherheitslücken bleiben, die nur durch die Kombination mit anderen Maßnahmen behoben werden können.

Um die bestmögliche Sicherheits-Konfiguration zu finden, hilft es sich die Vor- und Nachteile von Web Application Firewalls genauer anzusehen.

Vorteile

  1. Web Application Firewalls bilden eine gute, weitere Ebene des Schutzes vor unerwünschten Zugriffen, wenn sie zusammen mit anderen Sicherheitsmaßnahmen wie einer Network Firewall eingesetzt werden. Da letztere beispielsweise die Ebenen 3 und 4 des OSI-Models absichert, können durch die Kombination von beiden Firewall-Typen insgesamt 5 der 7 Ebenen im OSI-Model wirkungsvoll vor Fremdeinwirkungen abgesichert werden.

  2. Eine Web Application Firewall kann vor mehrere Anwendungen gleichzeitig zwischengeschaltet werden. Auf diese Weise können sowohl mehrere Sicherheitslücken bei einer Anwendung als auch jeweils eine Sicherheitslücke bei verschiedenen Anwendungen durch den Einsatz einer WAF geschlossen werden.

  3. Ein häufiges Problem bei Legacy Software ist, dass an dem vorhandenen Code nichts mehr gemacht werden kann. Dadurch stehen Hackern Tür und Tor offen, sich unerlaubt Zugriff zu verschaffen. Der Einsatz einer Web Application Software schafft hier schnell und unkompliziert Abhilfe.

  4. Gerade bei Anwendungen, die nicht vom Anbieter selbst, sondern einem Partner oder Dienstleister programmiert werden, kann es passieren, dass Sicherheitslücken über längere Zeit bestehen. Web Application Firewalls sorgen dafür, dass genug Zeit da ist, um den Code entsprechend anzupassen ohne sich Sorgen um Angriffe machen zu müssen.

Nachteile

  1. Auch wenn Web Application Firewalls einen guten Schutz vor bestimmten Arten von Angriffen bieten, können sie andere Sicherheitslücken nicht schließen. Aus diesem Grund ist zum Beispiel die Kombination mit einer Network Firewall sinnvoll. Außerdem bietet die WAF keinen Schutz vor Schad-Software, die bereits einen Weg ins Netzwerk gefunden hat. Das bedeutet, dass nicht nur die Web Application Firewall zum Schutz nach Außen, sondern auch Maßnahmen zum Schutz nach Innen getroffen werden sollten.

  2. Web Application Firewalls können durch bestimmte Methoden wie HTTP Request Smuggeling umgangen werden. Hierbei nutzen Hacker Unterschiede bei der Bearbeitung von HTTP Requests aus, indem sie zwei verschiedene Requests verschicken, die die Firewall aber für eine Anfrage hält. Auf diese Weise verbindet die Firewall die Anfrage mit einem „sicheren“ Daten-Paket, erhält aber beispielsweise einen Wurm oder andere Schad-Software, ohne dies zu registrieren.

  3. Eine Web Application Firewall ist nur so gut wie ihre Filter eingestellt sind. Werden diese zu restriktiv oder falsch eingestellt, kann dies zu Verzögerungen im laufenden Betrieb der Anwendung und somit Frustrationen bei den Anwendern sorgen. Es ist folglich unbedingt notwendig, die Filter professionell einrichten zu lassen.

  4. Web-Anwendungen, die aktive Inhalte einsetzen, zum Beispiel mit Java Script – können Probleme bei Einsatz einer Web Application Software verursachen. Bisher wird gerade Java Script wenig unterstützt und WAFs können nur mit erheblichem Aufwand für den Einsatz mit diesen Inhalten angepasst werden.

  5. Gerade weil Web Application Firewalls sehr gute Leistungen in ihrem Einsatzgebiet erbringen, können sie für Probleme sorgen. Es kann nämlich durchaus passieren, dass ihre Anwendung Entwicklern ein falsches Gefühl der Sicherheit vermittelt und diese beim Coden unachtsam werden. Nachlässigkeit an dieser Stelle kann sich aber als fatal erweisen, da keine Firewall jemals ein Ersatz für guten und lückenlosen Code ist.

Fazit

Nach Gegenüberstellung der wichtigsten Vor- und Nachteile lässt sich sagen, dass Web Application Firewalls besonders gut darin sind, den bereits bestehenden Schutz um eine weitere Ebene zu ergänzen. Außerdem fällt es Administratoren mit ihrer Hilfe leicht, veralteten Code oder andere bestehende Sicherheitslücken abzusichern, bis diese endgültig behoben werden können.

Allerdings sind WAFs nur so gut wie die Regeln, die ihnen vorgegeben werden. Aus diesem Grund ist es unabdingbar, dass sich der betreffende Administrator sehr gut mit diesem Thema auskennt – und sich auch darüber bewusst ist, vor welchen Arten von Angriffen eine WAF nicht schützen kann. So gut eine Web Application Firewall auch ist - ein falsches Gefühl von Sicherheit sollte trotz ihres Einsatzes nicht aufkommen.

Autor: dataliquid GmbH
Nach oben