Blog

Schützt eine Web Application Firewall (WAF) Ihre Web-Anwendungen?

Jul 20, 2023 von Christian Vierschilling

Fast jedes Unternehmen verwendet heute Web-Anwendungen, beispielsweise in Form von Internetpräsenz, Shops, Eigenentwicklungen oder Anwendungen zum Abbilden interner Prozesse. Ihre enge Verwobenheit in der IT-Infrastruktur und Erreichbarkeit über das Internet machen sie zu attraktiven Angriffszielen – mit multiplizierter Auswirkung. Um die Anwendungen zu schützen, werden oft Web Application Firewalls (WAF) eingesetzt. Wir testen laufend Regelwerke verschiedener WAFs, um zu evaluieren, ob und vor welchen Angriffen eine WAF Ihre schützenswerten Webapps tatsächlich bewahren kann. Wir erklären Ihnen hier, worauf es wirklich ankommt bei einer effizienten WAF und was Sie darüber hinaus für den Schutz Ihrer Web Application unternehmen können.



Inhalt

Was macht eine Web Application Firewall?
Können Sie sich zu 100% auf Ihre eingesetzte WAF verlassen?
Schützt die WAF Ihre Web-Anwendungen vor den relevanten Bedrohungen?
So testen wir die Effektivität von WAFs
Wie können Sie Ihre Web-Anwendung zusätzlich zur WAF schützen?
Eine individuelle Evaluation Ihrer WAF lohnt sich

Was macht eine Web Application Firewall?

Um Web-Anwendungen zu schützen, werden oft spezielle Firewalls eingesetzt, so genannte Web Application Firewalls (WAF). Diese befinden sich meist zwischen dem öffentlichen Internet und der zu schützenden Web-Anwendung. Dort sollen sie Angriffsversuche von gewöhnlichem Datenverkehr unterscheiden und gegebenenfalls blockieren, bevor Schwachstellen in der Web-Anwendung ausgenutzt werden können.

Können Sie sich zu 100% auf Ihre eingesetzte WAF verlassen?

Sie sollten keinem System blind vertrauen. Ein effektiver Schutz findet gemäss dem Prinzip der Defense in Depth immer auf mehreren Ebenen statt. Zwar leisten Machine Learning (ML) und Künstliche Intelligenz (KI/AI) auch bei WAFs bereits ihren Beitrag, indem sie lernen, Angriffsversuche von gewöhnlichem Datenverkehr zu unterscheiden und zusätzlich granular über Regelsätze gesteuert werden können. Das bedeutet allerdings, dass der Schutz einer WAF nur so effektiv sein kann, wie die Konfiguration es ihr erlaubt und ihr Lernprozess zeitlich fortgeschritten ist.

Schützt die WAF Ihre Web-Anwendungen vor den relevanten Bedrohungen?

Eine WAF sollte möglichst nah an den zu schützenden Technologien und Komponenten der Web-Anwendungen ausgerichtet sein, um insbesondere die jeweils relevanten Bedrohungen und Angriffstechniken blockieren zu können.

Gleichzeitig ist es wichtig, dass die WAF nicht dem sogenannten «Overblocking» erliegt und unnötig viele Anfragen blockiert. Eine zu restriktive Konfiguration kann zu Performance-Problemen führen und die Verfügbarkeit der zu schützenden Web-Anwendung beeinträchtigen. Die richtige Balance zu finden ist ein schmaler Grat und erfordert womöglich viele, feine Anpassungen im Verlauf der Zeit.

So testen wir die Effektivität von WAFs

Unsere Security Tester überprüfen regelmässig die Regelwerke verschiedener Web Application Firewalls (WAF) hinsichtlich deren Effektivität. Dabei verwenden wir unter anderem einen automatisierten Ansatz mithilfe des Tools «gotestwaf».

An dieses oder an eine bestimmte Web-Anwendung senden wir spezifische Anfragen, die wahrscheinlich eine Vielzahl von Schwachstellen ausnutzen könnten. Unsere Sicherheitstester prüfen dann, welche Anfragen von der WAF blockiert wurden und welche nicht.

Beim Test der WAF Ihrer Web-Anwendung, achten wir darauf, dass die Funktionalität nicht eingeschränkt wird und wir das richtige Mass an Konfiguration anwenden.

Auszug eines durch uns modifizierten, vereinfachten
Berichts einer WAF-Analyse.

Eine Anwendung, die beispielsweise nicht mit einer SQL-Datenbank verknüpft ist, muss nicht durch eine WAF vor SQL-Injections geschützt werden. Dies könnte die Performance unnötig beeinträchtigen. Jedes Unternehmen hat somit andere Systeme und Synergien, die beachtet werden müssen.

Wie können Sie Ihre Web-Anwendung zusätzlich zur WAF schützen?

Neben dem Testen und richtigen Konfigurieren Ihrer Web Application Firewall, um die Wahrscheinlichkeit von Angriffen zu reduzieren, sollten Sie auch Ihre Web-Anwendung selbst nicht ausser Acht lassen. Für ambitionierte Hacker ist auch eine top konfigurierte Firewall nur die erste Hürde. Wir empfehlen deshalb immer auch die Web-Anwendung einem Web-Applikations-Penetration Test zu unterziehen, um Schwachstellen zu identifizieren und zu schliessen. Am besten bezieht man die Sicherheit gemäss DevSecOps bereits beim Entwicklungs-Prozess mit ein, um nachgelagerten Mehraufwand zu vermeiden.

Eine individuelle Evaluation Ihrer WAF lohnt sich

Wir empfehlen Unternehmen, die Wirksamkeit ihrer WAF regelmässig zu kontrollieren beziehungsweise überprüfen zu lassen. So fassen Sie langfristig mehr Vertrauen in einen zuverlässigeren Schutz Ihrer Web-Anwendungen durch die WAF – denn das Schutzniveau wird dadurch belegbar. Sie erhalten durch eine individuelle Überprüfung:

  • einen Test-Scope, der generische sowie spezifisch für Ihr Unternehmen relevante Angriffsmöglichkeiten berücksichtigt
  • detaillierte Ergebnisse und Statistiken darüber, welche Angriffstechniken verwendet wurden und inwiefern Ihre WAF diese Angriffsversuche blockieren konnte
  • eine Einordnung der Ergebnisse durch Redguard, die stets im Kontext Ihrer zu schützenden Web-Anwendungen stehen
  • aufgezeigte Verbesserungspotenziale und konkrete Handlungsempfehlungen bezüglich der Konfiguration Ihrer WAF
  • eine Überprüfung, die zu einem späteren Zeitpunkt mit den gleichen Parametern erneut durchgeführt werden kann – dank des standardisierten Vorgehens. Dadurch lassen sich im Zeitverlauf Abweichungen feststellen.


Die Überprüfung Ihrer WAF ist ein wichtiger Schritt zur Stärkung Ihrer Web-Anwendungssicherheit. Wir unterstützen Sie gerne bei der Evaluation der Effektivität Ihrer WAF mithilfe unseres toolgestützten und standardisierten Vorgehens. Kontaktieren Sie uns gerne jederzeit und unverbindlich.


< zurück