Laut den Statistiken des FBI setzen in den USA 97 Prozent der Unternehmen eine Virenschutzlösung ein, 98 Prozent schützen ihr internes Netzwerk mit einer konventionellen Firewall, und 69 Prozent betreiben ergänzend ein Intrusion-Detection-System. Dennoch konnten Hacker auf 32 Prozent der Firmennetze unautorisiert zugreifen, und 15 Prozent der Unternehmen klagen über weitergehende unautorisierte Eingriffe.
Rund vier Fünftel aller Attacken erfolgen heute übers Web: Betroffen sind neben herkömmlichen Informations-Websites zunehmend Webanwendungen vom Content-Management-System über Online-Shops bis zu E-Banking und anderen Anwendungen, die eigentlich schon von Haus aus durch allerlei Sicherheitsmechanismen wie starke Authentifizierung abgesichert sind.
Web Application Firewalls von 16 Herstellern
E-Business ist gefährlich
Für die zunehmende Tragweite von Web-basierten Hackerangriffen sind drei Faktoren mitverantwortlich:
- Die konventionellen Netzwerk-Firewalls, Reverse-Proxies und Intrusion-Detection-Systeme kümmern mit Blick auf das Schichtenmodell der Internetkommunikation sehr effizient um die unteren Ebenen mit den Protokollen IP, TCP und HTTP.
Webanwendungen nutzen diese Transportschichten als Vehikel für ihre Business-Logik: Via HTTP werden neben den im Browser angezeigten Inhalten allerlei Parameter und Befehle übertragen. Diese programmlogischen Inhalte werden von den herkömmlichen Sicherheitssystemen nicht oder nur am Rande berücksichtigt.
Oft ist die Kommunikation zudem SSL-verschlüsselt. Dies sichert zwar vor unbefugtem Abhören auf der Strecke zwischen Browser und Webserver. Im gängigen Szenario, bei dem der HTTPS-Stream erst auf dem Webserver selbst entschlüsselt wird, wird die Inspektion durch die vorgelagerten Firewalls und Intrusion-Detection-Systeme dadurch aber vom Prinzip her verunmöglicht. Gute Sicherheit für Webanwendungen bietet nur eine Lösung, die den Datenverkehr bereits vor dem Webserver entschlüsselt (SSL-Termination) und konsequent auf illegitime Aktivitäten hinüberprüft.
Auch die Benutzerauthentifizierung erfolgt mit Vorteil bereits vor dem Webserver oder gar den einzelnen Applikationsservern: Eine spezialisierte Lösung zur Absicherung von Webanwendungen, genannt Web ApplicationFirewall (WAF), sollte durch vorgelagerte Authentifizierung dafür sorgen, dass garantiert nur autorisierte User auf die dahinterliegenden Anwendungen zugreifen können. Die WAF greift dazu selbstverständlich auf die bestehenden Directory- und Single-Sign-on-Systeme zurück.
- Webanwendungen werden kaum noch isoliert betrieben, sie sind immer öfter direkt mit produktiven Backend-Systemen wie dem ERP und CRM verbunden. Ist ein Angreifer erst einmal ins Netz eingedrungen, sind auch diese dahinterliegenden Systeme gefährdet. Da in nahezu allen Systemen immer wieder neue Schwachstellen auftauchen und zum Teil viel Zeit vergeht, bis die Hersteller einen Patch liefern, genügt der gängige Vulnerability-Check auf bekannte Sicherheitsprobleme nicht.
Eine effiziente WAF analysiert statt dessen proaktiv das legitime Kommunikationsverhalten jeder einzelnen Webanwendung und wehrt dann alle als nicht normal erkannten Zugriffe ab (HTTP-Filtering). «False Positives», also fälschlich als illegitim markierter Verkehr, sollte dabei wie bei der Spam-Abwehr möglichst vermieden werden.
- Gaben sich Hacker früher mit dem szeneninternen Renommee nach einem gelungenen Angriff zufrieden, stehen hinter den Aktivitäten der Eindringlinge heute meist handfeste kriminelle Interessen von Industriespionage über Erpressung bis zum Klau von Banking- und Kreditkartendaten zwecks unmittelbarer Bereicherung. Wenn ein Angriff gelingt, sind die Folgen also massiv gravierender.
Blosser Datendiebstahl wird zudem im Gegensatz zu manipulierten oder gefälschten Transaktionen auch im nachhinein oft gar nicht entdeckt – eine Web Application Firewall muss auch solche Versuche erkennen und abblocken.
Am Anfang steht der Programmcode
Mit der Installation einer WAF lassen sich viele Probleme effizient und bequem lösen. Das heisst aber nicht, dass bei der Entwicklung einer Webanwendung geschlampt werden darf. Erstens kann auch die beste WAF-Lösung nicht absolut alle Angriffe abwehren, zweitens kann die WAF auch nicht verhindern, dass eine Webanwendung falsche Daten zurückliefert – zum Beispiel Informationen, die eigentlich für einen anderen Benutzer bestimmt wären.
Die «Free and Open ApplicationSecurityCommunity» OWASP (www.owasp.org) hat sich die Verbreitung von Richtlinien und Best Practices für die Entwicklung sicherer Softwareanwendungen zum Ziel gemacht. Die Organisation publiziert unter anderem eine Hitparade der wichtigsten Sicherheitsprobleme bei Webanwendungen.
Die aktuelle «OWASP Top Ten 2007» liest sich fast schon wie die Feature-Liste eines WAF-Herstellers – die typische Web ApplicationFirewall kümmert sich hauptsächlich um die zehn genannten Problemkreise. Die sechs gängigsten Fehlerquellen:
- Cross Site Scripting (XSS) – Wenn die Anwendung eingehende Daten nicht prüft, sondern einfach an den Browser des Zielsystems weiterleitet, können Angreifer beliebige Scripts unterschieben und die Kontrolle über die Session übernehmen und zum Beispiel gefälschte Seiten anzeigen (Session Hijacking, Phishing), Websites verunstalten (Website Defacing) oder Würmer einschleusen.
- Injection – Von Injection spricht man dann, wenn eingehende Daten ohne Validierung an einen Interpreter weitergeleitet und dort als Befehle ausgeführt werden. Am gängigsten ist die SQL Injection, bei der mit gefälschten SQL-Befehlen Datenklau betrieben oder der Inhalt der Datenbank manipuliert wird.
- Information Leakage and improper Error Handling – Webanwendungen geben, zum Beispiel beim Auftreten von Fehlern, oft unfreiwillig Informationen über ihre Konfiguration und Funktionsweise bekannt, die sich für weitergehende Angriffe ausnutzen lassen.
- Broken Authentication and Session Management – Oft werden Identifikationsmerkmale und Session-Tokens nur unzureichend vor unautorisiertem Zugriff geschützt. Angreifer erhalten so Zugang zu Passwörtern, Schlüsseln und anderen Autorisierungselementen und können fremde Identitäten annehmen.
- Insecure Cryptographic Storage: Identitätsdiebstahl und Kreditkartenbetrug werden auch dadurch erleichtert, dass die wenigsten Webanwendungen korrekt mit den kryptografischen Funktionen und Möglichkeiten umgehen. Nur schwach oder gar nicht verschlüsselte Identitätsmerkmale und Kreditkartendaten lassen sich leicht ausspionieren.
- Failure to Restrict URL Access –Viele Webanwendungen schützen sensitive Funktionsbereiche, indem sie Links und URLs, die zu diesen Funktionen führen, einfach vor nicht autorisierten Usern verbergen und den Zugang nicht weiter absichern. Die Links sind aber auch dann noch vorhanden: Angreifer können solche URLs direkt ansprechen und die entsprechenden Funktionen unautorisiert ausführen.
Die OWASP-Top-Ten hat sich bei US-Regierungsstellen und in der Wirtschaft als Standard etabliert. So empfehlen die Federal Trade Commission (FTC) und die Defense Information Systems Agency die Top-Ten und die passenden Gegenmassnahmen als Best Practices bei der Webentwicklung.
Im PCI-DSS-Standard der Kreditkartenindustrie spielt die OWASP-Hitparade eine wichtige Rolle: Händler, die sich an Kreditkartensysteme anbinden wollen, müssen sämtlichen selbst entwickelten Code auf die OWASP-Richtlinien hin prüfen lassen.
Auch viele Unternehmen und Organisationen von British Telecom über
IBM Global Services bis zur ETH setzen auf die Empfehlungen der OWASP.
Appliance oder Plug-in
Unsere Marktübersicht umfasst 16 Hersteller von WAF-Lösungen in vier Kategorien.
➤ Die meisten Hersteller, darunter auch Citrix, bieten ihre Web Application Firewall in Form einer vorkonfigurierten Appliance an. Fast immer sind die Geräte bei ansonsten identischem Funktionsumfang in mehreren Varianten für unterschiedlich hohen Netzwerkverkehr erhältlich. Bei Barracuda Networks gibt es beispielsweise drei Modelle, die bis zu 25, 50 oder 100 Megabit pro Sekunde an eingehendem Traffic bewältigen; die beiden grösseren Modelle bieten zudem LoadBalancing beim parallelen Einsatz mehrerer Geräte. Auch die Securesphere WAF von Imperva ist in drei Konfigurationen für 500 bis 2000 Mbit/s verfügbar, bietet umfassende High-Availability-Optionen und lässt sich zusammen mit den übrigen Security-Appliances des Herstellers (Database Monitoring und Security Gateways) zentral mit einem optionalen Management-Server verwalten.
➤ Einige Lösungen werden in Form einer Software-Appliance angeboten: Die WAF wird samt dem zugrundeliegenden Betriebssystem, meist eine speziell gehärtete Unix-Variante, als Komplettpaket zur Installation auf einem eigenen Server angeboten. Ein Beispiel ist Profense vom dänischen Entwickler Armorlogic, das neben der Professional-Variante zu 4500 Euro auch in einer abgespeckten «Base»-Ausgabe zu haben ist – diese Gratisvariante verzichtet allerdings auf wichtige Features wie den adaptiven Lernmechanismus zur Ermittlung des legitimen Datenverkehrs und lässt sich nicht durch Clustering skalieren.
Auch der Schweizer Hersteller Visonys offeriert seine mit Features wie URL Encryption, HTML Form Protection, beschleunigte SSL-Termination und vorgelagerte Authentication funktional sehr fortschrittliche Lösung Airlock als Software-Appliance, die je nach Umfang des Verkehrs auf unterschiedlich starken Servern installiert werden kann. Die Ausnahme bildet das Produkt von Webscurity: Webapp.Secure Professional ist eine Softwarelösung zur Installation auf einem bestehenden Betriebssystem. Unterstützt werden neben Windows und Linux diverse Unix-Flavors inklusive OS X; für Testzwecke lässt sich die Software auch auf einem Desktop-System installieren.
➤ Bei F5 wird die WAF-Lösung namens Application Security Manager als optionales Zusatzmodul auf einem der Internet-Gateways der Big-IP-Serie installiert. Mit dem Modell 4100 ist auch eine Standalone-Lösung mit einem maximalen Throughput von 1,3 Gigabit pro Sekunde im Programm.
➤ Geht es um die Absicherung eines einzelnen Webservers, kommt die vierte Variante in Frage: Produkte wie Binarysec und Websniper sind als Plug-in für diverse Webserver realisiert. Die WAF ist in diesen Fällen zwar nicht im physischen Sinn vorgelagert, der Datenverkehr wird aber auch bei dieser Deployment-Variante gefiltert, bevor er den eigentlichen Webserver erreicht. Eine interessante Lösung, die ebenfalls als Plug-in für Webserver, aber auch für Security-Gateways wie Microsofts ISA-Server arbeitet und sich optional als Modul auf den Netzwerk-Firewalls von Genua implementieren lässt, ist Hyperguard vom deutschen Hersteller Art of Defence. Hyperguard bietet neben den klassischen Funktionen einer WAF auch fortgeschrittene Features der «zweiten WAF-Generation» wie komplettes Session Management, URL Encryption und Site UsageEnforcement. Der Hersteller bietet mit Hypersource übrigens auch ein Entwicklertool zur Prüfung des Quellcodes von Webapplikationen auf verschiedene Schwachstellen.
Die Web Application Firewall und ihre Umgebung
(ubi)