Web-Application-Firewall

Aus IT-Forensik Wiki

Eine Web Application Firewall (WAF) ist eine Firewall für HTTP Anwendungen.

Diese wendet ein bestimmtes Regelwerk auf HTTP-Sessions an. Diese Regeln zielen hauptsächlich darauf ab, Schutz vor verbreiteten Angriffen wie Cross Site Scripting (XSS) und SQL Injection. Diese Klasse von Angriffen wird oft als OWASP Top Ten zusammengefasst, da es die meistverbreiteten Angriffe darstellt. Die Funktionsweise einer WAF ist als Proxy. Normalerweise dienen Proxies dem Schutz von Clients, allerdings schützen WAFs in der Regel Server. Aus diesem Grund nennt man diese Art von Proxy auch Reverse-Proxy.

Beim Betrieb einer Web Application Fierewall ist es in der Regel möglich einen Modus zu fahren, in dem Angriffe zuerst nur geloggt werden. Dies hat den Vorteil, dass während der Implementierungsphase erstmal beobachtet werden kann, ob es zu sogenannten "False Positives" bei der Erkennung kommen würde. Sobald die Erkennungsrate passt, kann der Betriebsmodus auf "Blockieren" umgestellt werden, damit tatsächlich bösartige Angriffe blockiert werden bevor sie einen Schaden anrichten können.

WAFs gibt es in Form von Hardware appliance, Plugin, Modul (z.B. für Apache) und sind oft sehr anwendungsspezifisch. Bei größeren Änderungen der geschützten Anwendung ist es möglich, dass das Regelwerk auch angepasst werden muss.

Ein Beispiel für eine solche Software ist mod_security, ein Modul für den Apache Webserver.