Zwei Sicherheitsmodelle

Wenn es darum geht, zu entscheiden, welcher Datenverkehr blockiert und welcher durchgelassen werden soll, befolgt eine WAF entweder ein positives oder ein negatives Sicherheitsmodell. Ein positives Sicherheitsmodell, auch "Whitelisting" genannt, blockiert den gesamten Datenverkehr, außer solchem, der als gut bekannt ist. Ein negatives Sicherheitsmodell, auch als "Blacklisting" bezeichnet, erlaubt den gesamten Datenverkehr, mit Ausnahme dessen, was als schlecht bekannt ist. Beide Fälle erfordern eine klare Definition von "guten" und "schlechten" Requests, die in der Praxis fast unmöglich zu erreichen ist. Einige WAFs versuchen, beide Modelle zu benutzen, die meisten Produkte halten sich jedoch an eines.

Keines der beiden Modelle ist perfekt. Das positive Modell kann einen enormen Aufwand für die Konfiguration erfordern, um jede mögliche Kombination von Request-Parametern, Headern etc. genau zu definieren, die ein "guter" Request haben kann. Dieser Ansatz ist auch relativ empfindlich gegenüber Veränderungen in der Anwendung. Wenn ein neues Eingabefeld der Anwendung hinzugefügt wird, muss die WAF-Konfiguration gleichzeitig an diese Gegebenheiten angepasst werden, sonst werden alle Anforderungen an die Anwendung blockiert. Unsere Forschung legt nahe, dass das Whitelisting bei komplexen Installationen, die mehrere Anwendungen schützen, nicht praktikabel ist, auch wenn es für einige besondere Fälle durchaus sinnvoll sein kann.

Das negative Sicherheitsmodell hat auch seine Grenzen, denn es ist äußerst schwierig, eine Liste aller möglichen Arten bösartiger Requests zu erstellen. Das bedeutet, dass es zwangsläufig einige böswillige Zugriffe schaffen, an der WAF vorbeizukommen und die Web-Anwendung zu erreichen. Automatische Lernverfahren, die eine WAF trainieren können, guten von schlechtem Verkehr zu unterscheiden, sind nicht absolut zuverlässig und werden nicht helfen, dieses Problem komplett zu lösen.