Web Application Firewalls: Automatische Sicherheit gibt es nicht

„Webapplikationen sind schon längst nicht mehr das digitale Add-on für das reale Geschäft, sondern werden immer mehr zur Basis-Infrastruktur des Geschäfts selbst. Die jährlich wachsenden Umsätze des Online-Handels weltweit zeigen hier klar die Richtung an. Der umfassende Schutz dieser oft hochkomplexen Applikationen aus Individualsoftware und Standardapplikationen mit Zugriff auf sensible Datenbanken erfordert deshalb oberste Priorität innerhalb des geschäftlichen Risikomanagements. Gleichzeitig vergrößern ‚Web.2.0-Sprachen‘ wie JSON und AJAX, Webservice-Protokolle wie XML/SOAP sowie Single-Sign-On-Mechanismen zur einfachen Einbindung von Kunden, Partnern und Lieferanten in eine Webanwendung noch einmal das Risiko-Potenzial“, sagt Julian Totzek-Hallhuber, Technical Account Manager und Teamleader International Accounts beim IT-Sicherheitsspezialisten Deny All.

Julian Totzek-Hallhuber, Technical Account Manager und Teamleader International Accounts bei Deny All (Bild: Deny All).

Die zentrale Funktion von Web-Applikationen im heutigen Business ruft natürlich auch die kriminelle Szene auf den Plan. Deren Energien sind dabei wie immer fast unerschöpflich: das Spektrum reicht von browserseitiger URL-Manipulation („Forceful Browsing„) über das Einschmuggeln von Datenbankabfrage-Befehlen in Eingabefenster („SQL-Injection„) bis zum Überschreiben von Programmspeichern durch Angriffscode bei fehlerhafter Programmierung („buffer overflow„). Normale Sicherheitswerkzeuge wie Netzwerk-Firewalls oder Intrusion-Detection-Systeme sind für derartige Angriffe auf der Applikationsebene (OSI Layer 7) in der regel nicht ausgelegt, mögen sie sich auch „Next Generation“ nennen.

„Mit solchen Next-Generation-Firewalls können applikationsseitig zwar Verbindungsanfragen von Anwendern überwacht und eventuell auch die Bandbreite in Abhängigkeit von Verhaltensweisen beim Zugriff auf Anwendungen gesteuert werden, die Analyse des Applikationsverkehrs selbst, beispielsweise auf der Basis des http/https-Protokolls, ist damit aber nicht möglich“, erläutert Totzek-Hallhuber.

Intelligentes Alarmsystem mit möglichst einfacher Handhabung

Um den Applikationsverkehr analysieren und gegen kriminelle Eingriffe schützen zu können, sind andere Abwehrmittel erforderlich. Die Fehlerprüfung von Anwendungscode (Code Review) – möglichst durch externe Experten, um Betriebsblindheit zu vermeiden – ist in diesem Zusammenhang ratsam, aber sehr teuer und nur die halbe Miete. Zum einen ist völlig fehlerfreier Code erfahrungsgemäß nicht machbar, zum anderen ist bei der Integration von Fremdprogrammen in die Webapplikation der Zugriff auf den Quellcode oft eingeschränkt oder gar nicht möglich.

Stefan Strobel, Geschäftsführer beim IT-Security-Beratungsunternehmen Cirosec (Bild: Cirosec).

„So genannte Web Application Firewalls, also Filtermechanismen, die auf Layer 7 des OSI-Modells oder auch noch höher angesiedelt arbeiten, sind letztlich im Bereich der Online-Shops und der Internet-Transaktionen unabdingbar, obwohl das einige Unternehmen immer noch nicht einsehen wollen“, sagt Stefan Strobel, Geschäftsführer beim Heilbronner IT-Security-Beratungsunternehmen Cirosec. Einer der Gründe für die von Strobel konstatierte Zurückhaltung ist vermutlich Skepsis darüber, ob man das überaus vielfältige Angriffspotenzial im Applikationsbereich überhaupt mit einem einzigen Tool in den Griff bekommen kann, aber auch die Furcht, sich mit einer Web Application Firewall (WAF) ein Tool einzuhandeln, das schwierig zu bedienen ist beziehungsweise erhebliches Know-how im Unternehmen bindet.

Diese Skepsis und Furcht sind keineswegs irrational: Es ist eine große Herausforderung, die Effizienz der Lösung und die Einfachheit der Bedienung ins Gleichgewicht zu bringen: „Es gibt viele Qualitätshersteller mit guten Lösungen. Aber wenn die Handhabung zu kompliziert ist, dann besteht die Gefahr, dass der Admin falsch oder fehlerhaft konfiguriert“, sagt Oliver Wai, Senior Product Marketing Manager bei Barracuda Networks.

Michael Goedecker, Director Sales Engineering bei Sophos formuliert es fast identisch: „Es muss bei WAFs sowohl ein intelligentes Alarmsystem als auch eine einfache Handhabung gewährleistet sein. Und gleichzeitig müssen die individuellen Modifikationsmöglichkeiten für jedes Unternehmen erhalten bleiben.“

WAF-Lernmechanismen sind mit Vorsicht zu genießen

Die Balance zwischen intelligenten Alarmsystem und einfacher Handhabung ist eine ständige Aufgabe: wenn die Menge und Art der Anfragen, die im Rahmen einer Webapplikation erlaubt sind, sehr klein gehalten wird, also ein strenges Whitelisting praktiziert wird, dürfte es kaum Sicherheitsprobleme geben, aber vermutlich jede Menge Usability-Klagen. Wird dagegen das WAF-Regelwerk sehr permissiv angelegt ist, sind Sicherheitsprobleme fast vorprogrammiert.

Oliver Wai, Senior Product Marketing Manager bei Barracuda Networks (Bild: Barracuda networks).

Um das WAF-Regelwerk besser an die Realität der Webanwendungen anzupassen, bietet es sich an, die tatsächlichen Anfragen an die Webanwendungen genau zu beobachten und daraus Schlüsse für die Sicherheit zu ziehen und das WAF-Regelwerk daran auszurichten. Eine ähnliche Strategie besteht darin, das WAF-Regelwerk auf der Basis potenzieller Schwachpunkte, die sich aus Schwachstellen-Analysen oder Penetrations-Tests ergeben, nachzujustieren, sprich durch entsprechende Regeln zu ergänzen.

Automatisiertes Lernen aus der Praxis, eine sich kontinuierlich und selbstständig optimierende WAF: Zu schön, um wahr zu sein? Die Fachleute sind hier eher skeptisch: Oliver Wai von Barracuda Networks beispielsweise hält eine WAF, die „aus dem Traffic Stichproben zieht, Muster erkennt und daraufhin Regeln kreiert, für keine praxistaugliche Strategie, da sich Applikationen ständig ändern.“ Für ihn ist „Lernen nur mit Template-basierten Sicherheitsrichtlinien denkbar“.

Grundgedanke ist dabei offenbar, Top-Down-Sicherheitsmaßnahmen (Templates) „bei kompakten, häufig eingesetzten Applikationen wie Exchange und SAP“ mit Bottom-up-Maßnahmen („Lernen aus Traffic-Stichproben und Musterbildung“) zu kombinieren. Aber der Barracuda-Mann geht noch weiter: „Admins sollten sich nicht auf automatische Prozesse wie das Lernen verlassen. Lernen gaukelt Sicherheit vor, führt zu blinden Flecken, weil das Regelwerk unter Umständen nicht mehr greift und weil sich der Admin, der sich auf das Lernen verlassen hat, in den Applikationen nicht mehr auskennt.“

Automatische Lernergebnisse benötigen theoretische Analyse

Das Resümee aus solchen Einschätzungen ist klar: Automatisiertes Lernen aus realem Traffic und aus Pen-Tests liefert wertvolle Informationen, darf aber nicht verabsolutiert werden. „Der Security-Schutz des lernenden Bestandteils sollte ein Security-Layer von vielen sein. Dieser muss dann zusammen mit anderen Security-Layern in eine höhere Intelligenz einfließen, um dort globale Entscheidungen treffen zu können“, formuliert Martin Dombrowski, IT- Security Engineer Zentraleuropa bei Imperva. Nur wenn die Ergebnisse des Lernens vernünftig gefiltert werden – und die Vernunft rührt hier aus IT-Erfahrung und theoretischer Analyse – führen sie zu mehr Sicherheit; anderenfalls drohen Unbenutzbarkeit der Applikation durch Blockaden, nicht zuletzt durch „False Positives“, oder erhöhtes Risiko durch trügerische Sicherheit.

Der Rat zu gesundem Misstrauen, was die Ergebnisse von automatischen Lernmechanismen angeht, bezieht sich auch auf schnell generierte Ad-hoc-Regeln in WAF-Systemen, die meist unter dem Begriff „virtuelles Patching“ summiert werden. De facto ist damit gemeint, dass erkannte Schwachstellen solange durch WAF-Regeln geschützt werden, bis der Anwendungscode korrigiert worden ist. Solche Mechanismen bieten praktisch alle WAFs heute an, wie überhaupt nach Einschätzung von Cirosec-Geschäftsführer Stefan Strobel „mit allen WAFs, die in nennenswerter Potenz heute auf dem Markt sind, bei richtiger Konfiguration Anwendungen effizient geschützt werden können“.

Freilich hätten sie – so Strobel weiter – „unterschiedliche Philosophien und Ansätze, die indirekt Einfluss auf die Sicherheit haben können.“ Strobel und sein Team verfolgen schon seit über einem Jahrzehnt den WAF-Markt und haben die Übernahmen, Umbenennungen und das Ausschlachten einzelner WAF-Produkte, zumm Beispiel von Sanctum durch Watchfire, das später selbst von IBM übernommen wurde, ebenso im Blick wie das Verschmelzen von WAF- oder XML-Filtern mit anderem IT-Equipment – so geschehen bei Teros bei Citrix, Magnifire bei F5, oder dem XML-Filter Reactivity bei Cisco.

Strobel hält WAFs für wichtig und nützlich, er sagt aber auch klar, dass eine WAF kein Allheilmittel ist und benennt die (derzeitige) Grenzen von Web Application Firewalls: „Gegen Logikfehler sind WAFs machtlos und auch gegen eine fehlerhafte Implementierung von Sicherheit auf der Clientseite – beispielsweise ein falsch implementiertes Berechtigungsmodell – bieten sie keinen Schutz.“