WAF-plus-Application Delivery Controller-Kombination bringt Sicherheit auf ein neues Niveau
Herkömmliche Netzwerk-Firewalls leisten zwar gute Dienste, doch die erheblichen Veränderungen bei der Anwendungsbereitstellung lassen neue Schwachstellen entstehen. Diese erfordern spezialisiertere Anwendungssicherheits-Proxys wie die Web Application Firewall (WAF), ein Gerät, ein Server-Plugin oder ein Filter, der eine Reihe von Regeln auf eine HTTP-Konversation anwendet.
Da immer mehr Anwendungen ins Web verlagert werden, wird die Rolle der WAF in Kombination und integriert mit einem Application Delivery Controller (ADC ) immer wichtiger. Informationsexperten erkennen die Sicherheitsvorteile, die diese leistungsstarke Kombination bieten kann.
Dazu gehören Deep Packet Inspection, DDoS-Schutz und SSL-Offload-Funktionen als Teil einer umfassenderen, mehrschichtigen Sicherheitsarchitektur, die die Sicherheit erhöht und gleichzeitig Kosten und betriebliche Komplexität reduziert. Mit der WAF, die für die Sicherung des heutigen Internets obligatorisch geworden ist, und ihren Best Practices für die Bereitstellung, hebt die Kombination aus WAF und ADC die Sicherheit auf ein neues Niveau.
Bedrohungen durch Webanwendungen
Netzwerk-Firewalls sind Teil einer IT-Sicherheitslandschaft, die immer spezialisierter und intelligenter wird. Sie sind nicht in der Lage, den Inhalt des Datenverkehrs zu untersuchen, sondern konzentrieren sich in erster Linie auf den Netzwerkaspekt des Datenverkehrs. Sie bleiben relativ unintelligent in Bezug auf das Verhalten und den Kontext von Anwendungen auf hoher Ebene und sind nicht in der Lage, mit Bedrohungen für Webanwendungen umzugehen, wie z. B. den 10 größten Risiken, die vom Open Web Application Security Project (OWASP) zusammengestellt wurden. Es folgen Beispiele:
Injektion: SQL-Injection-Angriffe verwenden ein Webformular oder einen anderen Austauschmechanismus, um SQL-Befehle oder Befehle mit SQL-Sonderzeichen einzufügen. Durch das Senden dieser SQL-Befehle kann der Angreifer die Backend-SQL-Datenbank veranlassen, die injizierten Befehle auszuführen und unbefugten Benutzern den Zugriff auf sensible Informationen aus der Datenbank zu ermöglichen.
Cross-Site Scripting (XSS): Bei XSS-Angriffen wird ein Webserver ausgenutzt, der die von einer anderen Website stammenden Daten nicht validiert. XSS kann es dem Angreifer ermöglichen, sensible Informationen zu erhalten oder einen Webserver zu kompromittieren.
Gefährdung sensibler Daten: Wenn Webanwendungen sensible Daten wie Kreditkartennummern oder Sozialversicherungsnummern (SSN) nicht schützen, können Angreifer Identitätsdiebstahl, Kreditkartenbetrug oder andere Straftaten begehen.
Cross-Site Request Forgery (CSRF): CSRF-Angriffe fälschen einen Benutzer, um eine HTTP-Anfrage, einschließlich des Sitzungs-Cookies des Opfers, an eine anfällige Webanwendung zu senden. Für die anfällige Webanwendung scheint dies eine legitime Anfrage des Opfers zu sein.
Was ist WAF?
Das Konzept der "Firewall" wurde nach und nach durch eine verwirrende Vielzahl von Sicherheits-"Punktlösungen" ergänzt. Dazu gehören Proxy-Firewalls, Stateful-Firewalls, Intrusion-Detection-Systeme (IDS), Intrusion-Prevention-Systeme (IPS), Betrugserkennungssysteme, Anti-Virus-Systeme (AV) und neue Firewalls der nächsten Generation.
Als Firewall der nächsten Generation filtert eine WAF den gesamten Anwendungszugriff, indem sie sowohl den Datenverkehr zur Webanwendung als auch den Antwortverkehr von der Anwendung prüft. Indem sie sowohl die Anwendungsinfrastruktur als auch den Anwendungsbenutzer schützt, ergänzt eine WAF herkömmliche Netzwerk-Firewalls, die nicht für einen Schutz auf dieser granularen Ebene ausgelegt sind.
Eine WAF bietet in der Regel die folgenden Funktionen:
- HTTP-Schlüsselwortprüfungen, wie GET und POST
- Prüfung auf SQL-Injektionsangriffe (SQLIA)
- XSS-Prüfung
- CSRF-Prüfung
- Schlechter Bot-Check
- Maskierung der Kreditkartennummer (CCN)
- Maskierung der Sozialversicherungsnummer (SSN)
- Maskierung von Perl-kompatiblen regulären Ausdrücken (PCRE)
- Cookie-Prüfung
- Cookie-Verschlüsselung
- Prüfung der Schwarzen Liste/Weißen Liste der URI
- Prüfung der Einhaltung des HTTP-Protokolls
- HTTP-Referrer-Prüfung
- Cloaking zum Verbergen von Serverantworten/Fehlerstatuscodes
- Konfigurierbare Ablehnungsaktion
- Passiver/Lernender/Aktiver Einsatz - Eine WAF bietet eine granulare Kontrolle des Datenflusses von Webanwendungen und hat verschiedene Möglichkeiten, mit Bedrohungsvektoren umzugehen, die auf Webanwendungen abzielen können.
Im Folgenden werden Anwendungsfälle für die Angriffsabwehr aufgeführt:
- Die WAF kann Pufferüberlauf-Angriffe verhindern, indem sie akzeptierte Höchstwerte für Aspekte von HTTP-Anfragen festlegt und Anfragen blockiert, die die konfigurierten Grenzwerte überschreiten.
- Die WAF kann HTTP-Antwort-Header entfernen, um Serverinformationen zu verschleiern, mit denen ein Hacker einen Angriff auf Ihre Webserver durchführen kann. So kann die WAF beispielsweise einen HTTP-Antwort-Header verbergen, um das Betriebssystem zu verschleiern, das auf Ihren Servern ausgeführt wird. Offengelegte HTTP-Header können es einem Hacker ermöglichen, Ihre Server gezielter mit Angriffen anzugreifen, die auf die Betriebssysteme der Server zugeschnitten sind.
Bewährte Verfahren für den WAF-Einsatz
Eine WAF wird nicht mehr nur als Einzellösung für eine bestimmte Art von Sicherheitsrisiko eingesetzt, sondern erscheint zunehmend als integrierte Komponente, entweder innerhalb herkömmlicher Firewalls, als serverbasierte Lösung oder auf leistungsstarken Webaggregationspunkten wie Application Delivery Controllern (ADCs). Dies spiegelt auch den Wunsch der Unternehmen wider, den ROI der Netzwerksicherheit zu verbessern, indem sie mehrere Geräte konsolidieren und den Zeit- und Kostenaufwand für die Bereitstellung und Fehlerbehebung reduzieren.
Ein ADC muss per Definition implizit den Webverkehr und die damit verbundenen Sicherheitskontexte verstehen und ist daher ein natürlicher Ort, um ein WAF-Modul als Teil einer Servicekette zu integrieren. Dies gilt insbesondere, wenn man ergänzende Funktionen wie SSL Offload in Betracht zieht - die Nutzung des ADC zur Beendigung verschlüsselter SSL-Transaktionen, zur Vereinfachung der Zertifikatsverwaltung und zur Auslagerung der CPU-intensiven Verschlüsselungs-/Entschlüsselungseinrichtung aus der Webserver-Farm.
Da eine Application Delivery Firewall (ADF) von Natur aus mit Anwendungsprotokollen vertraut ist, kann sie das Verhalten sowohl forensisch als auch in großem Umfang überwachen und darauf reagieren. Die ADF prüft das gesamte Spektrum der Nachrichtenumschläge, von IPv4, IPv6, TCP, HTTP, SIP, DNS, SMTP, FTP bis hin zu Durchmesser und RADIUS, und ermöglicht eine ausgefeilte, tiefgehende Paketanalyse auf der Grundlage des Protokolls und der Nutzdaten.
Dadurch kann die ADF Anomalien erkennen, die auf einen laufenden Angriff hindeuten, und entsprechende Maßnahmen ergreifen. So kann die ADF beispielsweise die Anzahl der Layer-7-Verbindungen pro Sekunde und Client ermitteln und verschiedene Ratenbegrenzungssysteme einführen, die sich bei der Eindämmung von Angriffen auf Layer-3-, Layer-4- und Layer-7-Ressourcen, wie z. B. beim DDoS-Schutz, als wirksam erwiesen haben.
Wenn eine WAF in einem ADC implementiert wird, liegen die Vorteile auf der Hand, denn der ADC befindet sich an der Grenze zwischen Rechenzentren, die Webanwendungen bedienen, und dem Internet. ADCs sitzen an der Grenze zwischen Rechenzentren, die Webanwendungen bedienen, und dem breiteren Internet und fungieren effektiv als Proxy für den Lastausgleich und als intelligenter Cache für Anwendungstransaktionen und Inhalte.
ADCs erhalten einen vollständigen Überblick über den gesamten Messaging-Stack (L2-L7) und sind routinemäßig an Paketmanipulationen wie IP-Adresse, Port-Zuordnung und URL-Rewrite beteiligt. Während der offensichtlichste Einsatz des Application Delivery Controllers im Hochverfügbarkeits-Lastausgleich und im Caching von Inhalten über Anwendungsserver hinweg liegt, bedeutet diese privilegierte Vertrauens- und Aufsichtsposition in der Netzwerktopologie, dass ADCs immer häufiger einen Mehrwert an Sicherheit im großen Maßstab bieten, das Risiko reduzieren und sowohl die Informationssicherheit als auch die Verfügbarkeit verbessern.
Zu diesen Sicherheitsfunktionen gehören Vorauthentifizierung, SSL Offload, SSL Insight und DDoS-Schutz. In der Regel umfasst ein High-End-ADC auch benutzerdefinierte Skripte, um Deep Packet Inspection (DPI) und die Manipulation von Datenverkehr, Endpunktinformationen und sogar Webinhalten zu ermöglichen.
Im Grunde genommen ist eine WAF als Teil eines ADC eine natürliche und ergänzende Erweiterung der Kernfunktionen zur Anwendungsbereitstellung. Während herkömmliche Firewalls eine wichtige Rolle bei der Perimetersicherheit spielen, sitzt der ADC in der Regel vor den Webanwendungsservern als letzte Station in der Verteidigungskette. Auf diese Weise können Unternehmen sowohl interne als auch externe Missbrauchsversuche abwehren und sich darauf verlassen, dass die Durchsetzung von Richtlinien an der richtigen Stelle, auf der richtigen Ebene und mit genauer Kenntnis der Anwendungslogik und der damit verbundenen Schwachstellen erfolgt.
Dies ist besonders wichtig, wenn das Unternehmen Virtualisierung einsetzt und unterschiedliche Richtlinien für verschiedene virtuelle Domänen implementieren möchte. Noch wichtiger ist, dass eine WAF das letzte Wort bei den internen Sicherheitskontrollen sein kann. Dies ist wichtig angesichts des zunehmenden Trends zu BYOD, bei dem mobile Technologien immer häufiger an den Arbeitsplatz gebracht werden, wodurch viele der Perimeterkontrollen umgangen werden.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.