Sichere Web-Apps dank WAF

Sichere Web-Apps dank WAF

Artikel erschienen in IT Magazine 2009/09

Sicher dank WAF

Wirtschaftlicher und flexibler ist der Einsatz einer Web Application Firewall (WAF). Die WAF wird vor den Webserver geschaltet und überprüft die übertragenen Daten auf der Applikationsebene. Um jede Benutzeranfrage bezüglich Protokoll-Konformität sowie Korrektheit (Input-Validierung) untersuchen und Angriffsmuster erkennen zu können, terminiert die WAF den SSL-Verkehr und stellt das damit verbundene Zertifikatsmanagement zur Verfügung. Die für den SSL-Verkehr benötigten Zertifikate werden an einem zentralen Ort und nicht auf jedem einzelnen Server verwaltet, was die Betriebskosten senkt.


Auch die sichere Benutzer-Authentisierung kann von der WAF übernommen werden. Sie lässt eine Anfrage erst nach erfolgreicher Authentisierung auf dem Webserver der Applikation zu. Auf diese Weise wird sichergestellt, dass nur authentisierte Benutzer auf die Web-Applikation zugreifen können (vgl. Abbildung). Sollen die Benutzer über einen beliebigen Webbrowser von überall her zugreifen können (z.B. aus dem Internet-Cafe), dann muss eine Zwei-Faktor-Authentisierung über ein zusätzliches One Time Password (OTP) zum Einsatz kommen. Eine OTP-Lösung kann über einen klassischen Hardware Token oder über SMS realisiert werden. Eine zwingende Anforderung bei der SMS-basierten Lösung ist die Zustellung der SMS in Echtzeit. Diese Anforderung ist mit dem Provider des jeweiligen Unternehmens zu prüfen, besonders beim Zugriff aus dem Ausland.


Sichere Identifikation

In Web-Applikationen werden Cookies, Informationen in den URLs (URL-Encoding) oder versteckte Felder (Hidden Form Fields) für das Session Handling verwendet. Die Web-Applikation generiert diese Informationen nach erfolgreicher Authentisierung und sendet sie zum Browser des Benutzers. Bei der nächsten Interaktion des Benutzers fliessen dieselben Informationen wieder vom Browser zur Web-Applikation. Genau diese Daten sind für einen Angreifer von grossem Interesse und Wert. Gelangt jemand durch gezielte Angriffe auf den Client an diese Daten, kann er sie manipulieren und auf diese Weise sogar konkrete Transaktionen im Namen des Benutzers durchführen. Das sichere Session Handling auf der WAF verhindert derartige Angriffsszenarien erfolgreich. Mittels Session Fingerprinting werden diverse Client-Parameter – beispielsweise die Client-IP-Adresse, die SSL-ID, der Browser-Typ und die Browser-Sprache verwendet – um die Session zu charakterisieren. Ändert beispielsweise die IP-Adresse, hat entweder der normale periodische IP-Wechsel beim DSL-Anschluss des Benutzers stattgefunden oder es liegt ein Angriff vor. Wenn die WAF allerdings eine neue IP-Adresse registriert und danach wieder Anfragen mit der ursprünglichen IP-Adresse erhält, dann greifen mehrere Clients gleichzeitig auf die authentisierte Session zu. Dies lässt eindeutig auf einen Session-Missbrauch schliessen und die Session wird terminiert.


Ein weiterer Vorteil beim Einsatz einer WAF ist, dass nicht alle Cookies zum Client gesendet werden müssen. Die von der Web-Applikation in Richtung Client gesendeten Session Cookies werden im Cookie Store der WAF zwischengespeichert und gelangen nicht zum Client. Gegenüber der Web-Applikation tritt nun die WAF als Client auf. Dabei sind auf dem eigentlichen Client des Benutzers keine Session Cookies der Web-Applikation sichtbar. Anderseits werden Cookies von der Web-Applikation auch zur Speicherung von Benutzereinstellungen verwendet. Diese Cookies sind keine Session Cookies. Sie haben ein Ablaufdatum und bleiben auch nach Beendigung einer Session bis zum definierten Termin auf dem Client gespeichert. Auf der WAF ist klar definiert, welche Cookie-Arten zum Client gelangen dürfen. Verwendet die Web-Applikation URL-Encoding oder Hidden Form Fields für das Session Handling, kann die WAF diese Informationen signieren und verschlüsseln. Eine clientseitige Änderung dieser abgesicherten Informationen kommt einem Angriff gleich. Die Kommunikation wird umgehend von der WAF abgebrochen und die Web-Applikation dadurch geschützt.


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
SPONSOREN & PARTNER