Web Application Firewalls
WAF in der Cloud
Zum Einstig in das Thema Web Application Firewall (WAF) in der Cloud sind zwei Arten von WAF-Cloud-Services zu unterscheiden: erstens Cloud Provider, die SaaS (Software as a Service) anbieten, zweitens WAF-Cloud-Services, die lediglich die WAF-Funktionen in die Cloud verlagern.Der erste Fall ist recht unspektakulär, da es sich hier lediglich um einen Provider handelt, der Dienste für viele Kunden im eigenen Rechenzentrum anbietet. Dort ist eine komplette IT-Infrastruktur vorhanden, mit Netzwerk-Firewall, Routern, Switches, IDS/IPS (Intrusion Detection/Prevention System), Antiviren-Gateways und eben auch Web Application Firewalls. Bei der Auswahl von Outsourcing- oder Cloud-Providern sollte man immer darauf achten, dass eine WAF zur Absicherung der Unternehmens-Web-Applikationen wie zum Beispiel OWA (Outlook Web Access) oder SAP-Anwendungen zum Einsatz kommt. Im zweiten Fall, der Verlagerung von WAF-Funktionen in die Cloud, sind deutlich mehr Faktoren in Betracht zu ziehen. Diese Variante bietet Vorteile wie auch Nachteile. Zunächst die Vorteile: Eine WAF in der Cloud ist im Normalfall für den "unbedarften" Benutzer ausgelegt und verbindet bekannte Security-Funktionalität wie Blacklists oder Scoringlists mit einer sehr einfach zu bedienenden Anwenderoberfläche. Oft lässt sich die Sicherheit nur in einfachen Stufen anpassen, zum Beispiel "niedrig", "mittel" und "hoch". Die Kosten sind aufgrund der geringen Einstellungsmöglichkeiten meist deutlich geringer als bei einer Anschaffung im eigenen Rechenzentrum. WAF in der Cloud mit Nachteilen Leider überwiegen bei der Lösung, eine WAF in der Cloud zu betreiben, die Nachteile: Zum einen stellen die geringen Konfigurationsmöglichkeiten eine Schwachstelle dar, wenn es darum geht, Besonderheiten umzusetzen. Wenn eine Applikation zum Beispiel nicht 100-prozentig im HTTP-Standard arbeitet und spezielle Ausnahmen oder Umschreibungen zu definierensind, ist die Konfiguration einer Cloud-WAF schnell am Ende ihrer Möglichkeiten angelangt. Außerdem sind in den wenigsten Fällen Whitelist-Ansätze zu finden, sodass sich eine Cloud-WAF eher als eine schnelle Plug-and-Play-WAF beschreiben lässt. Sehr wichtig bei einer WAF in der Cloud ist auch die Problematik der Netzwerkstruktur. Hier wird per DNS der Applikationsname nicht mehr auf die eigentliche Applikations-IP im Unternehmen aufgelöst, sondern auf der IP-Adresse der Cloud-WAF bei dem entsprechenden Betreiber. Von dort aus geht der Request dann weiter an die IP-Adresse im Unternehmen. Ein Angreifer kann diesen Fakt schnell umgehen, zum Beispiel indem er einen NMAP-Scan auf die WAF-IP wie auch auf die IP-Range des Unternehmens durchführt. Findet er in der IP-Range des Unternehmens einen Web-Service auf Port 80 oder 443, wird sich dahinter mit Sicherheit die nun ungeschützte Web-Applikation verbergen. Dem Angreifer sind nun Tor und Tür geöffnet, um die Applikation ohne den Schutz der Web Applikation Firewall anzugreifen. Ein weiterer Faktor, den man nicht außer Acht lassen darf, ist die SSL-Terminierung auf der WAF. Damit die WAF in der Cloud auch eine verschlüsselte Übertragung (HTTPS) anbieten kann, müssen an dieser Stelle natürlich auch die SSL-Zertifikate und der Private Key abgelegt werden. Mit dem Private Key ist es möglich, den gesamten Datenverkehr zu entschlüsseln und neue gültige Zertifikate zu generieren. Zusätzlich müssen die Daten auf der Cloud-WAF auch unverschlüsselt vorliegen, damit die WAF Überprüfungen an den eingehenden Daten vornehmen kann. Dies sollte ein Verantwortlicher ebenfalls als sicherheitskritischen Punkt im Auge behalten. Auswahlkriterien Doch selbst wenn einige Fragen und Risiken bei Cloud-WAFs bestehen bleiben, sind sie dennoch eine günstige Lösung, um die Sicherheit einer Applikation zu erhöhen. Wenn eine WAF in der Cloud zum Einsatz kommen soll, gilt es, auf folgende Funktionalitäten zu achten: Einfache Bedienung: Da es, anders als bei einem lokal betreibenen Produkt, keinen Support gibt und auch Schulungen in der zugrunde liegenden Technik nur bedingt stattfinden, ist es enorm wichtig, dass die Bedienung absolut intuitiv und einfach ist. Jeder mit etwas technischem Verständnis sollte sofort in der Lage sein, die Cloud-WAF zu bedienen. Mit vier bis fünf Eingaben sollte der Schutz aktiviert sein. Offenlegung der Sicherheitsfunktionen: Wenn die Bedienbarkeit auf Einfachheit ausgelegt ist, werden die zugrunde liegenden Sicherheitsfunktionen meist nicht offengelegt. Es ist aber wichtig, bei einer WAF nicht nur den funktionalen Teil, sondern auch den Sicherheitsfaktor mit zu beleuchten. Schließlich ist der Sicherheitsfaktor die Grundlage für den Einsatz einer WAF. Allgemeine Sicherheitsfunktionen: Sehr wichtig ist die Prüfung der genannten Sicherheitsfunktionen, denn Sicherheit bedeutet in den meisten Fällen nicht gleich Sicherheit. Es folgt ein kurzer Überblick über die wichtigsten Funktionen, die vorhanden sein sollten: Blacklist: Eine Blacklist beinhaltet normalerweise sehr dedizierte Patterns für spezielle Angriffe. Das bedeutet, dass in der Regel mit jedem Pattern genau ein Angriff erkennbar ist. Es sind durchaus auch generische Patterns in einer Blacklist zu finden, jedoch kann hier die Rate der False Positives sehr hoch sein. Scoringlist: Viel interessanter wird es, wenn das negative Sicherheitsmodell um eine weitere Liste ergänzt wird, die deutlich weniger Patterns beinhaltet, durch ihren generischen Ansatz aber deutlich mehr Angriffe erkennen kann. Dieses Modell nennt man auch Greylist oder Scoringlist, weil ihr Ansatz zwischen der Blacklist und der Whitelist angeordnet ist. Das Greylisting macht von einem generischem, gewichtetem Ansatz Gebrauch. Bei einer Blacklist kann immer genau eine Regel pro Request treffen. Bei der Scoringlist hingegen können beliebig viele Regeln pro Request treffen, diese beinhalten zusätzlich eine Gewichtung. Erst wenn die Gewichtung aller Treffer auf einen Schwellenwert von über 1.0 steigt, wird die Blockierung ausgeführt (siehe Bild unten). Dieser generische, gewichtete Ansatz bietet einige Vorteile gegenüber dem Standardansatz des Blacklistings: Ein Angriff lässt sich viel feiner und dedizierter erkennen, da die einzelnen Patterns zusammengesetzt werden. Deshalb ist die Rate der False Positives in der Scoringlist auch deutlich geringer als in der Blacklist. Durch die einzelnen Patterns ist es möglich, Angriffe zu erkennen, die über mehrere Parameter verteilt sind. Das bedeutet, wenn der erste Teil des Angriffs in Parameter eins und der zweite Teil des Angriffs in Parameter drei steht, kann die WAF aufgrund des generischen und gewichteten Ansatzes den Angriff immer noch erkennen. Dank des generischen Ansatzes ist es möglich, Angriffe aus den fünf großen Bereichen der Scoringlist zu erkennen, die zum Zeitpunkt des Angriffs noch nicht bekannt sind. Cookie-Verschlüsselung: Von der Applikation generierte Cookies sollten verschlüsselt an die Browser übermittelt werden, damit ein Angreifer keine Möglichkeit hat, durch Klartextwerte Rückschlüsse zu ziehen. Sicherheit für moderne Web-Anwendungen: Applikationen werden heute immer dynamischer und verwenden neue Techniken, um gute Bedienbarkeit zu gewährleisten. Eine WAF muss für den Einsatz dieser Techniken entsprechend ausgestattet sein und Angriffe aus Bereichen wie JSON oder HTML5 adäquat erkennen. Fazit Ein WAF-Cloud-Service lässt sich sehr schnell und günstig betreiben, birgt aber einige Risiken im Netzaufbau und aufgrund der geringen Konfigurationsmöglichkeiten. Die Nutzung eines solchen Services sollte man sowohl unter Kosten/Nutzen-Gesichtspunkten als auch bezüglich der Sicherheit intensiv und individuell beleuchten.
Lesen Sie mehr zum Thema
