Die Bedeutung des Internets für die Art und Weise, in der Unternehmen mit Kunden interagieren, wächst ständig. Während es vor einigen Jahren noch völlig ausreichend war einen Internet Auftritt mit dem Informationsgehalt eines Prospektständers zu betreiben, bedarf es jetzt interaktiver Kundenportale und Web-Applikationen, die individuell auf die jeweiligen Bedürfnisse der Kunden reagieren.

Hierzu ist eine Verknüpfung der Portalanwendung mit internen Datenbank- und IT-Systemen erforderlich um einen Zugriff auf interne Unternehmensdaten zu gewähren. Genau dies ruft nun kriminelle Elemente auf den Plan. So genannte „Datenpannen“, bei denen Kundendaten, Kreditkartennummern oder interne Dokumente von Hackern erbeutet werden, finden sich deshalb auch regelmäßig in den Nachrichten. „Stunde für Stunde finden in Deutschland 1500 Angriffe auf private Computer statt. Oft erbeuten die Täter Kontendaten. Der Online-Raub ist ein lukratives Geschäft geworden“, beschrieb die Frankfurter Allgemeinen Zeitung am 25.08.2009 treffend die Situation. Angefeuert wird diese ungünstige Entwicklung noch von der überaus produktiven „Malware-Industrie“, die alle 20 Sekunden einen neuen WindowsVirus programmiert, wie networkcomputing.de am 11.02.2010 meldete.

Im Bereich der IT-Sicherheit gehören seit langem bestimmte Techniken wie z.B. Firewalls und der Aufbau von DMZ-Netzwerken für extern angebotene Dienste zum Standard, um IT-Systeme vor einem bestimmten Typ von Angriffen zu schützen. Diese Angriffe zielen auf die Netzwerk- und Transport-Schicht in der Kommunikation und sind in diesem Bereich auch höchst effektiv.

Die neuen Angriffe, denen Infrastrukturen im Internet nun ausgesetzt sind, bewegen sich allerdings auf einem anderen Niveau: Cyberattacken richten sich jetzt direkt gegen Schwachstellen in den Portal- und Web-Applikationen. Die klassische Firewall hat damit auf keinen Fall ausgedient, denn die Angriffe, gegen die diese Geräte wirksam schützen, finden nach wie vor statt. Gezielte Angriffe auf die Business-Applikationen wie z.B. Webshops können jedoch von diesen Firewalls nicht oder nur sehr eingeschränkt erkannt werden.

Evolution der Firewalls

Sicherheitstechnik entwickelt sich immer reaktiv auf neu Angriffsmethoden und -Techniken weiter, die von Hackern, Virenprogrammierern und der Malware-Industrie erfunden und angewendet werden. Mit klassischen Netzwerk-Paketfilter zur Abwehr von Port Scans und Angriffen gegen Dienste auf der Netzwerk- und Transportschicht des TCP/IP-Protokolls begann die Evolution der Firewalls.

Bei diesen Angriffen wurde meist durch speziell zusammen gestellte Pakete versucht, einen Fehler bei den jeweiligen Diensten zu provozieren – mit dem Ziel den Dienst entweder auszuschalten („Denial of Service“) oder ihn zur Ausführung von fremden Programmcodes zu manipulieren, die durch den Angreifer „injiziert“ wurden. Auf diese Weise konnte der Angreifer den betreffenden Rechner regelrecht „kapern“ und so die Kontrolle über ihn übernehmen.

Häufig werden dabei auch Webseiten – insbesondere von bekannten Firmen mit hoher Besucherfrequenz – systematisch „geknackt“, um Schadcodes zu platzieren. Cyberpiraten nutzen zu diesem Zweck Schwachstellen in interaktiven Web-Inhalten aus oder spähen die Zugangsdaten von Webseite-Administratoren aus.

Mit zunehmender Komplexität der Angriffe zog die IT-Security-Gemeinde nach. Aus den einfachen Paketfiltern entwickelten sich Statefull Inspection Firewalls, die sich nicht nur schützend vor einen Port legten, sondern dabei auch den Verlauf der Kommunikation im „Auge“ behielten. Versucht ein Angreifer einen Dienst mit einem Paket zu erreichen, das nicht in der richtigen syntaktischen Reihenfolge der Kommunikation ist, wird das Paket von der Firewall verworfen.

Die Grenzen dieser Techniken sind schnell erreicht, sobald sich Angreifer an die korrekte Syntax eines TCP/IP-Verbindungsaufbaus halten. Dies führte zur Entwicklung erweiterter Systeme, die Mustererkennung zur Abwehr (Detektion) von Angriffen einsetzen. Diese Intrusion Detection Systeme (IDS) arbeiten dabei – ähnlich wie klassische Virenscanner – mit einer Datenbank bekannter Angriffsmuster und protokollieren alle erkannten Angriffe. Alles, was im Netzwerk anormal ist, sollte von diesen autarken Systemen über Sensoren erkannt und protokolliert werden. Dabei nutzen IDS zwei unterschiedliche Methoden, um anormalen Datenverkehr aufzuspüren und mit den vorgegebenen Mustern zu vergleichen: entweder per Misuse Detection oder per Anomaly Detection.

Beim Misuse Detection werden die erfassten Muster gegen andere Muster, die vorwiegend von den Eindringlingen benutzt werden, abgeglichen. Mit dieser Methode werden nur bereits bekannte Angriffsmuster erkannt. Neue Angriffe, von denen noch kein Muster vorliegt, bleiben dagegen unerkannt. Beim Anomaly Detection wird hingegen jedes Verhaltensmuster, das sich außerhalb des normalen Datenverkehrs bewegt, als Angriff gewertet. Dadurch werden auch Abweichungen von bisherigen Angriffen erkannt. Eine Pflege der Angriffsmuster in einer Datenbank entfällt. Allerdings muss beim Anomaly Detection definiert werden, welches Muster zum normalen Datenverkehr gehört, wodurch sich die Schwelle für Fehlalarme erhöhen kann.

Die Praxis zeigt allerdings sehr schnell, dass die von einem IDS erzeugen Log-Daten nicht mit vertretbarem Aufwand durch einen Administrator ausgewertet werden können. Eine proaktive Reaktion auf die Meldungen ist völlig unrealistisch.

Als Antwort auf dieses Dilemma wurden Intrusion Prevention Systemen (IPS) entwickelt. Im Gegensatz zu einem Intrusion Detection System (IDS) hat das Intrusion Prevention System (IPS) keine überwachende und alarmauslösende Funktion, sondern kontrolliert unmittelbar den Traffic. Das IPS-System ist direkt in die Datenleitungen geschaltet und überwacht die ein- und ausgehenden Datenpakete der Netzwerk-Komponenten. Angriffe und vom normalen Datenverkehr abweichende Bitmuster werden über Signaturen erkannt und blockieren den Datenverkehr. Unterstützt wird diese Sperrfunktion durch intelligente Verhaltensmuster und anomale Algorithmen, die auf der Applikationsebene arbeiten.

IPS-Systeme sollten die Datenanalyse in Hochgeschwindigkeit ausführen können und dürfen selbst unter Hochlast nicht den legitimen Datenverkehr blockieren. Der Schwachpunkt eines IPS liegt in der Muster-Erkennung. Mit Hilfe dieser Muster ist es zwar möglich gängige Angriffe zu erkennen, nicht jedoch auf individuelle Probleme in Applikationen zu reagieren.

Web Application Firewalls

DoS (Denial of Service)- und Cross-Site-Scripting-Attacken, SQL-Injections, Session Manipulationen und Buffer Overflows (Puffer-Überläufe) zielen direkt auf die Business-Logik von Web-Applikationen und durchlöchern bzw. umgehen damit die klassische Unternehmens-Firewall. Dabei attakieren Angreifer eine Anwendung auf der höhereren Ebene 7 des Netzwerkprotokollstacks (nach dem ISO/OSI-Schichtenmodell) und „kommunizieren“ direkt mit den Prozessen einer Applikation. Davon sind nicht nur Online-Shops und Webseiten selbst betroffen, sondern auch die immer weiter verbreiteten "Web Services“ – eine Schlüsseltechnologie für die Integration verteilter Anwendungen.

Web Services sind Softwarebausteine, die auf unterschiedlichen Netzwerkrechnern laufende Programme über das Internet zu einer Anwendung miteinander verknüpfen, wodurch ganze Softwaresysteme Daten austauschen sowie Funktionen auf entfernten Rechnern aufrufen können. Web Services sind über verschiedene Plattformen hinweg interoperabel und werden beispielsweise für die Interaktion zwischen Fluggesellschaften und Reisebüros genutzt. Web Services und ihre Anwendung haben sich inzwischen in der Industrie einen festen Platz zur Lösung verschiedener Integrationsprobleme erobert.

Die neuen Angriffsmethoden gegen Web-Applikationen oder –Services, bei denen Angreifer den Datenverkehr oder das Remote Login für ihre Attaken nutzen, machen spezielle Sicherheitskomponenten erforderlich, die die jeweilige Anwendung individuell und gezielt schützen. Die WAF-Technologie (Web Application Firewall) ist eine solche Sicherheitskomponente, die Webserver gezielt vor Angriffen über das http-Protokoll absichern. Mit Web Application Firewalls (WAF) können diese spezifischen Angriffe auf Webanwendungen erkannt werden, die herkömmliche Firewalls und Intrusion Detection Systeme nicht erkennen können. Eine zwischen dem Webclient und dem Webserver installierte WAF bietet damit einen signifikant verbesserten Schutz gegen immer ausgefeiltere Webangriffe. Sie untersucht den Datenstrom auf der Anwendungsebene, den ein Web-Browser an die Webanwendung sendet und verhindert, dass unerwünschte Daten überhaupt übertragen werden, indem sie die Angriffe blockt.

Web Application Firewalls sind Security-Appliances, die als Hardware- und/oder Software-Lösungen angeboten und auch als Web Shields, Application Layer Gateway (ALG) oder Application Level Firewall (ALF) bezeichnet werden.

Als Hersteller-unabhängiges Systemhaus hat Giegerich & Partner diese Produktgattung genauer unter die Lupe genommen und dabei die WAF-Modelle verschiedener Anbieter miteinander verglichen – orientiert an den typischen Anforderungen und auch preislichen Vorstellungen des Mittelstandes. Denn bislang hatten derartige Systeme vor allem einen Nachteil: sie waren sehr teuer, wie die IT-Fachzeitschrift ‚iX’ (Nr. 6/2009)) feststellte. Sowohl hinsichtlich des technischen Funktionsumfangs wie auch des Preis-Leistungs-Verhältnisses überzeugen die Web Application Firewalls von Barracuda Networks am meisten.

Auch die Fachpresse beurteilt die Produkte dieses Anbieters positiv: „Die Web Application Firewall 460 von Barracuda Networks macht die WAF-Technologie auch für den Mittelstand erschwinglich und einfacher administrierbar“, schrieb das Magazin ‚iX’ in seiner Ausgabe Nr. 6/2009. Der US-Anbieter verbindet in seinen WAF-Modellen Elemente einer klassischen Netzwerk-Firewall und eines IPS mit den speziellen Möglichkeiten einer Application Firewall und arbeitet hierbei in drei Stufen: terminieren, absichern, beschleunigen.

• Terminieren: Zunächst wird verhindert, dass ein potenztieller Angreifer überhaupt eine direkte Verbindung zu einem Applikations-Server erlangt. Zu diesem Zweck arbeitet die WAF als so genannter Reverse Proxy, d.h. alle Anfragen werden von der WAF entgegen genommen, sie fordert diese Daten dann „im Auftrag“ bei der Applikation an. Dieses Vorgehen erlaubt die Real-time-Analyse der angeforderten Daten nach verschiedenen Gesichtspunkten. Die eigentlichen Applikations-Server erhalten nur normalisierte Anfragen mit korrekter http-Syntax. Etwaige Protokollfehler, die der anfragende Browser eingeschleust hat, werden von der WAF bereinigt.
  
  
• Absichern: Die Barracuda Web Application Firewall verfügt über ein umfangreiches Regelwerk, das gängige Angriffsmuster auf Web-Anwendungen wie z.B. Online-Shops beinhaltet. Zusätzlich kann der Administrator speziell auf die abzusichernde Anwendung eigene Regeln erstellen. Die Anpassung an die Konfigutation der Anwendung erfolgt dabei so weit, dass Parameter von Eingabefeldern beschränkt werden können. So kann z.B. für ein Feld festgelegt werden, dass nur alphanumerische Zeichen eingegeben werden dürfen.
  
  
• Beschleunigen: Neben der Absicherung der Zugriffe auf Unternehmensanwendung kann die Web Application Firewall auch zur Erhöhung der Performance beitragen. Wird die Anwendung über eine SSL-Verschlüsselung angeboten, so kann diese rechenintensive Arbeit von der WAF übernommen werden (SSL Offloading). Die Webserver können somit mehr CPU-Leistung für die eigentliche Anwendung einsetzen.

Die Barracuda WAF unterstützt auch verschiedene Mechanismen zum Load Balancing der Anwendung auf mehrere Server. Caching und Kompression sind weitere Optionen, die gemeinsam mit der Absicherung durch die WAF genutzt werden können.

Die Praxis

Giegerich & Partner hat bereits seit ein paar Jahren umfangreiche Erfahrung im Umgang mit der Barracuda Web Application Firewall gesammelt. Erst der Einsatz eines solchen Gerätes in der Praxis zeigt, welchen Angriffen ein Webserver im Internet ausgesetzt ist. Es verwundert nicht, dass die Medien vermehrt über Datenpannen berichten, bei denen es Angreifern gelingt an sensible Kundeninformationen oder interne Daten von Unternehmen zu gelangen.

Im Gegensatz zu anderen Vertretern dieser Produktgruppe ist die Barracuda Web Application Firewall erfrischend übersichtlich gestaltet und vergleichsweise einfach
zu bedienen: Wie bei Barracuda üblich wird die Maschine über ein Web Frontend direkt im Browser administriert und konfiguriert. Die Prämisse von Barracuda, Produkte auf den Markt zu bringen, die einfach und effektiv sind und dabei keinerlei Anwender- oder sonstige Mengenlizensierungen beinhalten, wurde bei der Entwicklung der WAF konsequent durchgesetzt.

Die Grundeinrichtung für eine Applikation ist sogar inklusive Load Balancing und SSL in der Regel mit minimalem Zeitaufwand von unter einer halben Stunde möglich. Dies soll allerdings nicht darüber hinweg täuschen, dass eine gründliche Konzeption und Konfiguration erforderlich ist, wenn wirklich ein individueller und umfassender Schutz einer Web Applikation erreicht werden soll. Der Zugriff erfolgt über lokale Anwender, es ist aber auch eine Nutzung vorhandener Strukturen wie z. B. Microsoft Active Directory oder Radius möglich. Einem Benutzer kann aber auch nur ein eingeschränkter, rollenbasierter Zugriff auf bestimmte Applikationen zugewiesen werden.

Der Status einer Applikation, oder eines einzelnen Servers wird direkt auf der Statusseite angezeigt. Die Antworten der einzelnen Server werden kontinuierlich überwacht, so dass die WAF einen nicht funktionierenden Server automatisch aus dem Load Balancing entfernen oder auf einen Backup-Server umschalten kann. Der Administrator kann bei Bedarf auch einzelne Server – z.B. für Wartungsarbeiten – deaktiveren.

Ein weiterer Pluspunkt ist: die Web Application Firewalls von Barracuda gehören zu den ersten Sicherheitssystemen ihrer Art, die nach dem US-amerikanischen Payment Card Industry Data Security Standard (PCI DSS) zertifiziert wurden. PCI DSS ist eine im Jahr 2004 von den vier großen Kreditkartenunternehmen Visa, MasterCard, Discover und American Express gemeinsam aufgestellte Verfahrensrichtlinie zur Sicherheitsoptimierung bei Kredit-, Kunden- und EC-Karten-Transaktionen und zum Schutz der Karteninhaber vor dem Missbrauch ihrer persönlichen Daten. Mit diesem Standard wird unter anderem die Aufrechterhaltung eines sicheren Netzwerkes für die Durchführung von Transaktionen durch die Verwendung widerstandsfähiger und effektiv arbeitender Firewalls als ein wichtiges Kriterium definiert.