- IT-Security
- SAP Security
- IT-Infrastructure
- Managed Services
- Professional Services
- Security TV
Erkennungsmechanismen und Betriebsaufwand trennen Spreu und Weizen
Eine der Kernaufgaben einer WAF ist, zu gewährleisten, dass nur URL-Aufrufe, die zur Anwendung gehören, zugelassen werden. Andersherum gesagt: Ressource-Zugriffe unterhalb der Webserver-Wurzel, z.B. auf DLLs, Dateiversionen oder gar interne Anwendungen müssen abgefangen werden.
Dynamic Profiling statt manuelle Konfigurationsorgien
Moderne Lösungen können dynamisch im Betrieb lernen. Nach dem Aufruf einer erlaubten Start-URL analysiert die WAF alle vom Webserver zurückgelieferten Webseiten und fügt deren URLs der dynamischen Policy hinzu, die sie im Hauptspeicher hält. Das Problem: Nicht gelernte URLs blockiert sie und somit auch alle verlinkten URLs, die noch nicht aufgerufen wurden. URL-Crawler, die alle Links verfolgen, können hier Abhilfe schaffen.
In der Praxis hat sich die Kombination aus statischer Start-Policy und dynamischem Lernen als sehr brauchbar erwiesen. Von Sicherheitslösungen, die rein statisch arbeiten, wie z. B. das quelloffene Tool mod-security für den Apache Webserver, ist aufgrund ihrer unzureichenden Angriffsabdeckung und dem immensem Betriebsaufwand eher abzuraten.
Input Validation statt SourceCode-Review
Eine weitere zentrale Aufgabe einer WAF ist Input Validation. Weil das größte Angriffspotenzial in Injection-Angriffen (SQL- / Command- Injections, Cross Site Scripting) liegt, müssen Parameterkontrollen (Session IDs, Wertebereiche) exakt ausgeführt werden. Wert und Länge jedes einzelnen Parameters der Webanwendung individuell in der WAF zu konfigurieren - noch dazu - wenn häufige Änderungen in der Anwendung die Regel sind, grenzt an Sisyphos-Arbeit. Gute Lösungen bieten hierfür Blacklists, die sämtliche Arten von Injection-Angriffen adressieren und zeitnah aktualisiert werden.
Neben der Kontrolle der Benutzereingaben muss die WAF aber auch deren Integrität der Read-Only-Parameter prüfen. Das funktioniert am besten dynamisch, indem sich die WAF zur Laufzeit der Session die Werte der von der Applikation erstmals an den User ausgelieferten Parameter merkt.
Interessiert an einem fundierten Fachgespräch und Lösungen für konkrete Anforderungen? Dann kommen Sie ruhig etwas näher und sprechen Sie uns an. Zum Beispiel per Kontaktformular.