Wir benutzen Cookies auf unserer Website. Durch Klicken auf "Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie hier Datenschutz

Sicherheit

WAF

WAF (Web Application FIrewall) ist auch eine Firewall, die aber rein speziell für Angriffe und Attacken für die Anwendungsebene (Ebene 7) entwickelt wurde.

Klassiche Hardware Firewalls arbeiten auf Ebene 3 und 4.

Alle unsere Firewalls arbeiten Cloud-Basiert.

Was bedeutet das?

Das folgende Bild zeigt grundlegende Protokolle und Formate auf den verschiedenen Ebenen.

Bild-Quelle: community.fs.com

Klassiche Hardware Firewalls von früher (werden auch heute noch eingesetzt), arbeiten auf der Ebene 3 und 4.

Angriffe auf Ebene 3 sind z.b. Netzwerkangriffe die gezielt auf IP-Adressen durchgeführt werden.

Klassiche Hardware Firewalls würden solche Angriffe anhand der Quell-IP-Adresse abwehren oder zulassen. Dies kommt auf den FIrewall Administrator in Ihrer IT-Firma an, welche Regeln er festgelegt hat.

Zum Beispiel blockieren moderne klassiche Firewalls ganze Regionen, (Sammlung aus IP-Adressen zusammengefasst zu einer Region).


Eine WAF oder Web Application Firewall dagegen hilft beim Schutz von Webanwendungen, indem sie den HTTP-Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht.

Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet.

Gewöhnlich schützt sie Webanwendungen vor Angriffen wie Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion und SQL-Injection, die auf der Website selber, oder durch automatisierte Bot-Anfragen über Ebene-7 Protokolle wie HTTP oder HTTPS kommen.

Zum Beispiel schützt sie gegen Angriffe auf Datenbanken durch das Eingeben von SQL-Befehlen in Formularen.

Sie funktioniert nach einer Reihe von Regeln, die oft als Richtlinien (Policies) bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern.

Der Grad, wie schnell und wie stark eine Überprüfung durchgeführt wird und welche Maßnahme bei einer wahrscheinlich böswilligen Anfrage (z.b. Blockieren oder Abfrage) durchzuführen ist, ist frei und granular konfigurierbar.

Die Clients müssen die Regeln der WAF durchlaufen, bevor sie den End-Server erreichen.

Was macht unsere WAF so besonders?
Unsere WAF arbeitet hochmodern, sicher, performant und flexibel und kann aktiviert werden, ohne Änderungen an Ihrer Infrastruktur.

Sie hat außerdem die integrierten OWASP TOP 10 Schwachstellen, die ebenfalls fein einstellbar sind.

Regeln in der WAF werden laufend aktualisiert und können jederzeit fein granular angepasst werden.

Die meisten WAF's können nur Angriffe blockieren.

Folgende Aktionen kann unsere WAF durchführen, wenn sie böswilligen Verkehr erkennt:

- Umgehen
- Simulieren
- Blockieren
- Abfrage




Praktischer Test

1. Test (Datenbank-Angriffe)

Angreifer versuchen über Eingabefelder auf Webseiten auf die dahinterstehende Datenbank zuzugreifen.

Unten ist ein Beispiel-Formular mit einem Benutzernamen zum Anmelden.

Das Formular nimmt den Benutzernamen, übergibt ihn der Datenbank zum durchsuchen und dann folgen weitere Schritte wie z.b. Passwort-Eingabe.

So würde ein Beispiel SQL-Befehl aussehen, das vom Formular an den Server gesendet wird, der die Datenbank durchsucht, wenn Sie einen normalen Benutzernamen eingeben:

Eingegebener Benutzername im Formular: paul

SQL-Befehl an die Datenbank:
SELECT * FROM users WHERE benutzername = 'paul'

Dieser Befehl holt sich alle Informationen zu dem eingegebenen Benutzernamen.

Wenn Sie nun etwas mehr über die Sache denken, können Sie im Formular SQL-Ähnliche oder ganze Befehle einfach eingeben, das 1:1 ohne Filterung an die Datenbank gesendet wird.

So könnten ganze Datenbanken gelöscht werden.

Sie müssen davon ausgehen, man möchte immer etwas von der Datenbank-Suche filtern.
Man möchte nie den gesamten Inhalt der Datenbank bekommen, da die Last zu groß wäre für die Datenbank selbst.

Ein möglicher Angriff um alle Daten zuzugreifen ist im Formular nach dem Benutzernamen die Zeichen

"OR 1=1"

anzuhängen.

Der OR Operator sorgt dafür, das der eigentliche Befehl ausgehebelt wird, der nur Informationen nach dem Benutzernamen paul sucht daher dadurch wenn die Bedingung im OR Befehl wahr ist, werden alle Daten ausgegeben.

Der Datenbank-Befehl einfach ausgedrückt:

Suche Informationen nur zum Benutzernamen paul ODER wenn 1 = 1 ist.

1 ist gleich 1, daher werden alle Daten dem Angreifer übermittelt.

Eingegebener Benutzername im Formular: paul OR 1=1

SQL-Befehl an die Datenbank:
SELECT * FROM users WHERE benutzername = 'paul' OR 1=1


1. Geben Sie erst einen normalen Benutzernamen ein und drücken Sie auf den Knopf. (Normale Anmeldung)

2. Als zweiten Schritt geben Sie einen Benutzernamen + OR 1=1 ein.
(Angreifer versucht auf Datenbank zuzugreifen)

Die WAF erkennt und blockiert Ihre zweite Anfrage.

Danke! Wir haben Ihre Anfrage erhalten!
Oh! Ein Fehler ist aufgetreten!