computerwoche.de

Security

Ratgeber Security

Alles über Web Application Firewalls

10.12.2009
Von Dr. Bruce Sams

WAF-Einsatzarten

WAFs können je nach Netzarchitektur auf verschiedene Arten eingesetzt werden. Einige Produkte lassen sich in verschiedenen Modi betreiben, andere unterstützen nur einen. Jeder Modus hat Vor- und Nachteile, die man sorgfältig prüfen muss.

  • Reverse Proxy: Der vollständige Reverse-Proxy-Modus ist die häufigste Einsatzart. Eine Reverse-Proxy-WAF befindet sich zwischen der Firewall und dem Web-Server, und jeglicher Netzverkehr erfolgt durch sie hindurch. Die IP-Adressen der WAF werden veröffentlicht, eingehende Verbindungen enden an diesen Adressen. Die WAF erledigt die Zugriffe auf die Web-Anwendungen im Namen des ursprünglichen Browsers. Der Reverse-Proxy-Modus ermöglicht es der WAF, zahlreiche zusätzliche Funktionen anzubieten (zum Beispiel SSL-Terminierung), die in einigen anderen Betriebsarten nicht bereitgestellt werden können. Der Nachteil des Reverse-Proxy-Modus ist, dass er die Latenz erhöhen kann, wodurch eventuell die Leistung verringert wird und es sogar zu funktionalen Problemen für einige leistungskritische Anwendungen kommen kann.

  • Transparent Proxy: Eine WAF im transparenten Proxy-Modus befindet sich ebenfalls zwischen der Firewall und dem Web-Server. Allerdings verfügt sie über keine IP-Adresse. Dieser Modus hat den Vorteil, dass keine Änderungen an der bestehenden Netzinfrastruktur nötig sind. Allerdings lässt sich ein Teil der zusätzlichen Funktionen, die Reverse-Proxies anbieten, hier nicht bereitstellen. Zum Beispiel ist SSL-Terminierung nicht möglich.

  • Layer-2-Bridge: Eine Bridge ist ein Layer-2-Gerät, das zwei physikalisch getrennte Netzwerke verbindet. Als Layer-2-Gerät achtet eine Bridge nur auf die MAC-Adressen eines Pakets (nicht auf die IP-Adressen) und besitzt keine Informationen über das Routing auf der IP-Ebene. In diesem Modus sitzt die WAF zwischen der Firewall und den Web-Anwendungen und ist in der Regel auf hohen Durchsatz ausgerichtet. Diese Einsatzart bietet hohe Leistung und keine wesentlichen Änderungen am Netz, jedoch nicht die erweiterten Dienstleistungen, die andere WAF-Modi besitzen. Die Einschränkung für SSL-Terminierung gilt auch hier.

  • Netzmonitor/Out of Band: Dies ist ein interessanter Modus, in dem die WAF nicht zwischengeschaltet ist und der Netzverkehr nicht durch sie hindurchgelenkt wird. Stattdessen erhält die WAF Datenverkehr aus einem Monitoring-Port, was sehr nützlich sein kann, um eine WAF zu testen, ohne den Netzverkehr zu stören. In dieser Konfiguration agiert die WAF mehr als ein Intrusion-Detection-System (IDS), obwohl sie immer noch Netzverkehr blockieren kann, indem sie TCP-Reset-Signale sendet.

  • Host/Server-basierend: Host- oder Server-basierende WAFs sind Softwareanwendungen, die auf einem Web-Server installiert werden. Host-basierende WAFs sind hoch spezialisiert und erlauben eine detaillierte Konfiguration der HTTP-Traffic-Analyse. Da sie aber nichts über das Netz wissen, bieten sie einige der zusätzlichen Funktionen netzgestützter WAFs nicht an. Allerdings hat eine Host-basierende WAF viele Vorteile. Zum Beispiel beseitigt sie das Problem des gemeinsamen Versagenspunkts.

  • Eingebettete WAFS: Es ist möglich, vom Konzept der Host-basierenden WAFs einen Schritt weiterzugehen und die Filterfähigkeiten der WAF in eine Anwendung selbst zu integrieren. Sowohl Java- als auch .NET-Anwendungen verfügen über Standardoptionen, um Komponenten zum HTTP-Stream entweder vor oder nach der Web-Anwendung hinzuzufügen. Diese Filter sind dann mehr ein Teil der Anwendung als ein Teil der Infrastruktur. Der wesentliche Unterschied zu den zentralen Modi besteht darin, dass das Entwicklerteam der Anwendung dafür zuständig ist, die Filter zu konfigurieren und die WAF zu verwalten. Abhängig von Ihrer Organisation kann dies ein Vorteil oder ein Nachteil sein.