Web Application Firewalls

 

Insbesondere in gehosteten Umgebungen lässt sich die Layer-7-Überwachung in Form von Firewalls speziell für Webanwendungen realisieren. Diese konzentrieren sich auf Angriffe gegen die Anwendungsschicht, die auf Web- und Anwendungsdienste zielen. Damit bieten sie nicht nur Schutz vor herkömmlichen Webangriffen wie Cross-Site Scripting (XSS) oder SQL Injection, sie verstehen auch traditionelles Clientverhalten (die Benutzer, die mit einer Site interagieren) und können von der Norm abweichende Verhaltensweisen verfolgen und unterbinden. Web Application Firewalls (WAF) werden oft als Add-onModule für herkömmliche Firewall-Gehäuse angeboten, um Leistungseinbußen auszugleichen, die sich durch die zusätzliche Überwachung des Datenverkehrs auf Layer 7 ergeben können. Dies bedeutet nicht, dass eine solche Firewall die herkömmliche Firewall in einer gehosteten Umgebung ersetzen könnte. Die

 

 

 

traditionelle Segmentierung der diversen Stufen ist nach wie vor von entscheidender Bedeutung. Einsatz von virtuellen Firewalls Dieser Ansatz lässt sich auch auf virtuelle gehostete Plattformen ausweiten. Die Isolierung virtueller Plattformen erfordert die Durchsetzung der Firewall-Trennung auf Hypervisor-Ebene, um so Zugriffe auf die verschiedenen virtuellen Instanzen auf derselben physischen Plattform zu steuern. Die sicherheitstechnische Trennung zwischen den einzelnen virtuellen Maschinen (VM) kann durch eine Kombination von herkömmlichen Firewalls mit Web Application Firewalls noch verstärkt werden. Bei solchen Implementierungen spielt die klassische Firewall immer noch eine Rolle, wenn auch eher im Makrokontext, weil sie die Abschottung beziehungsweise den Schutz zwischen virtuellen Serverfarmen sicherstellt. Layer-7- Schutz kann dann auf jenen Segmenten sichergestellt werden, die als sensitiv oder kritisch für den Geschäftsbetrieb eingestuft werden. Angesichts der heutigen Bedrohungslandschaft sollte eine sichere gehostete oder unternehmenseigene Umgebung so konzipiert sein, dass die klassische, netzwerkspezifische Ver-teidigungslinie aus Firewalls durch eine Kombination aus Host- und netzwerkbasierten Schutzmechanismen auf Anwendungsebene verstärkt wird. Mit einem Layer-3-Gerät allein können heutzutage die kritischen Bereiche eines Netzwerks nicht mehr hinreichend geschützt werden.

 

Heute gibt es fünf Arten von Netzwerk-Firewalls:

 

Paketfilter-Firewalls, Verbindungs-Gateways (Circuit Level Gateways), Stateful Inspection Firewalls, Anwendungs- oder Proxy-Firewalls sowie Firewalls der nächsten Generation (Next-Generation Firewalls). Sie unterscheiden sich in der Art und Weise, wie sie den Datenverkehr bewerten und die Netzwerkleistung beeinflussen. Paketfilter-Firewall Eine Paketfilter-Firewall spiegelt den ursprünglichen Ansatz wider, ein Perimeter-Sicherheitssystem zur Abwehr von bösartigem Datenverkehr am Router oder Switch bereitzustellen. Durch die Überprüfung eingehender und ausgehender Datenpakete am Switch oder Router kann die Firewall grundlegende Daten über Ziel- und Herkunfts-IP-Adresse, Portnummer und Pakettyp erhalten. Wenn das Paket nicht den Sicherheitsrichtlinien entspricht, wird es von der Firewall nicht an sein Ziel weitergeleitet. Da Paketfilter-Firewalls das Paket nicht öffnen müssen, können sie Informationen zum Datenverkehr schnell verarbeiten. Sie sind allerdings relativ leicht zu umgehen, da sie nur sehr allgemeine Informationen der Pakete überprüfen.

Verbindungs-Gateways (Circuit Level Gateways)

Verbindungs-Gateways auf Leitungsebene überwachen die TCP-Daten zwischen Paketen im gesamten Netzwerk, um festzustellen, ob die gestartete Sitzung legitim ist und das vernetzte System als vertrauenswürdig angesehen werden kann. Der Datenverkehr wird auf der Grundlage von Richtlinien. durchgelassen oder abgelehnt. Diese Gateways geben keine Daten über das zu inspizierende Netzwerk preis, können aber die Paketinhalte selbst nicht kontrollieren. Sie können daher leicht bösartigen Datenverkehr übersehen.

Stateful Inspection Firewall

Eine Stateful Inspection Firewall untersucht jedes Paket im Rahmen der TCP-Sitzung, in die es eingebunden ist, und verfolgt die Aktivität vom Beginn der Sitzung bis zum Ende. Diese Art von Firewall akzeptiert oder blockt Datenverkehr auf der Grundlage von Sicherheitsrichtlinien und Daten aus früheren Aktivitäten, die Teil derselben Verbindung waren. Dazu erstellt die Firewall Verbindungstabellen, die zu jeder eröffneten Verbindung Informationen über die bereits gesendeten Pakete enthalten. Werden nun Daten von externen Systemen empfangen, vergleicht die Firewall diese mit den Informationen in den Verbindungstabellen und ordnet sie entsprechend zu. Stateful Inspection Firewalls bieten fortgeschrittenere Kontrollen als Paketfilter-Firewalls, aber sie sind langsamer bei der Verarbeitung von Paketen und beeinträchtigen die Netzwerkleistung.

Anwendungs-Firewall

Eine Anwendungs-, Proxy-, oder Application Firewall filtert den eingehenden Datenverkehr auf der Anwendungsschicht. Sie fungiert als Stellvertreter nach außen (Proxy) und gibt

nur ihre eigene IP-Adresse nach außen, nicht die eigentliche Netzwerkadresse des Absenders beziehungsweise Empfängers. Die Proxy-Firewall stellt eine Verbindung am Entstehungsort des Traffics her und überprüft das Paket auf bösartige Inhalte oder Richtlinienverletzungen, einschließlich bekannter Viren, markierter Websites und Exploits. Anwendungs-Firewalls können zwar besonders effektiv sein, aber auch die Netzwerkleistung beeinträchtigen.

Next-Generation Firewall

Eine Next-Generation Firewall (NGFW) ist ein Vertreter der dritten Generation der Firewall-Technologie. Sie ist entweder in Hardware oder in Software implementiert und in der Lage, ausgeklügelte Angriffe zu erkennen und zu blockieren, indem sie Sicherheitsrichtlinien auf Anwendungs-, Port- und Protokollebene durchsetzt.

 

• NGFWs verfügen in der Regel über erweiterte Funktionen, darunter Anwendungsbewusstsein;
• integrierte Intrusion-Prevention-Systeme (IPS);
• Identitätsbewusstsein – Benutzer- und Gruppenkontrolle;
• Bridged- und Routing-Modi; n die Fähigkeit, externe Nachrichtenquellen zu nutzen. Von diesen Angeboten integrieren die meisten Next-Generation

 

Firewalls mindestens drei Grundfunktionen: Enterprise-FirewallFähigkeiten, ein IPS und Anwendungskontrolle. Wie die Einführung der Stateful Inspection in traditionellen Firewalls bringen NGFWs zusätzlichen Kontext in den Entscheidungsprozess der Firewall. Dies ermöglicht es einer NextGeneration Firewall, die Details des Webanwendungsverkehrs zu verstehen, der sie durchläuft. So können sie Maßnahmen ergreifen, um Verkehr zu blockieren, der Schwachstellen ausnutzen könnte. NGFWs kombinieren viele der Fähigkeiten herkömmlicher Firewalls – einschließlich Paketfilterung, Network Address Translation (NAT) und Port Address Translation (PAT), URLBlockierung und Virtual Private Networks (VPN) – mit QoSFunktionen (Quality of Service) und anderen Merkmalen, die in herkömmlichen Firewalls nicht zu finden sind. Dazu gehören Intrusion Prevention, SSL- und SSH-Überprüfung, Deep Packet Inspection (DPI) und reputationsbasierte Malware-Erkennung sowie Anwendungsbewusstsein. Diese anwendungsspezifischen Funktionen sollen der wachsenden Zahl von Anwendungsangriffen entgegenwirken, die auf den Schichten 4 bis 7 des OSI-Netzwerkstapels stattfinden. Die verschiedenen Funktionen der Next-Generation Firewalls verbinden sich zu einzigartigen Vorteilen für die Benutzer. NGFWs sind oft in der Lage, Malware zu blockieren, bevor sie in ein Netzwerk gelangt, was zuvor nicht möglich war. Next-Generation Firewalls sind auch besser gegen Advanced Persistent Threats (APT) gewappnet, da sie in die Threat Intelligence Services integriert werden können. NGFWs können auch eine kostengünstige Option für Unternehmen darstellen, die versuchen, die grundlegende Gerätesicherheit durch den Einsatz von Anwendungsbewusstsein, Inspektionsdiensten, Schutzsystemen und weiteren AwarenessTools zu verbessern.