Oft gehört, selten so gut erklärt. In diesem Blog-Artikel erklärt einer unserer Security Experten, was NGFWs und WAFs ausmacht, und worin sie sich unterscheiden.
NGFW – Next-Generation Firewall
Eine Firewall ist ein IT Security System, das normalerweise auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection Model) (1) arbeitet. Firewalls können den Datenverkehr zwischen IP-Subnetzen, IP-Adressen, Ports und Layer 4-Protokollen (wie TCP oder UDP) filtern oder auch einschränken. „NG“ im NGFW steht für Next-Generation. Diese Art von Firewalls vereinen u.a. folgende Sicherheitsfunktionen:
- DPI-basierte Anwendungssteuerung (Deep Packet Inspection),
- Bandbreitenmanagement,
- Intrusion Detection oder Prevention Systeme (IDS/IPS) und
- Application Layer Gateways (wie z.B. ein HTTP-Proxy oder ein E-Mail-Sicherheitsgateway)
Werfen wir einen Blick auf Anwendungssteuerungs- und Anwendungsschicht-Gateways und wie sie den HTTPS-Datenverkehr steuern und ein Unternehmensnetzwerk sichern können.
Praxis-Beispiel / Anwendungssteuerung:
Die Firewall regelt, auf welche Webseiten ein Benutzer zugreifen kann.n Dies ist selbst dann möglich, wenn der Datenverkehr des Benutzers SSL-verschlüsselt ist (HTTPS). Basierend auf dem SNI-Header im SSL-Handshake, erkennt die Firewall die angeforderte Seite – diese kann den Zugriff auf „anovis.com“ ermöglichen und den Zugriff auf „orf.at“ blockieren. Mithilfe der SSL-Überprüfung kann sogar die SSL-Schicht durchbrochen werden, indem dem Client ein dynamisch signiertes Zertifikat vorgelegt wird. Wenn die SSL-Schicht durchbrochen wird, kann eine Firewall nach übertragenen Dateien im HTTP-Stream suchen, diese in der Firewall zwischenspeichern und somit im Datenverkehr nach Malware suchen, bevor die Datei an den Client übermittelt wird.
Vor der Anwendung von Application Control Mechanismen, wurden HTTP-Proxy Server verwendet, um bestimmte Websites basierend auf Block- und Zulassungslisten oder Block-Malware-Downloads zu filtern. Der Hauptunterschied zwischen Application Control und HTTP-Proxy-Servern besteht darin, dass der Client speziell zur Verwendung eines bestimmten Proxy-Servers konfiguriert werden muss.
WAF – Web Application Firewall
Eine Web Application Firewall – kurz WAF – ist ein sogenannter „Reverse“ (HTTP-) Proxy mit integrierten Sicherheitsfunktionen. Ein Reverse-Proxy wird vor einem Webserver platziert. Während der HTTP-Proxy den Benutzer (Client) schützt, schützt eine Web Application Firewall die Webanwendung auf dem Webserver sowie den Webserver selbst. Die WAF fungiert als Webserver, der den HTTP-Datenverkehr annimmt, inspiziert und an den Webserver weiterleitet.
Sie untersucht den vollständigen HTTP-Request, bevor sie den HTTP-Datenverkehr an den Webserver weiterleitet. Dabei werden vor allem komplexe reguläre Ausdrücke verwendet, um häufige Bedrohungen von Webanwendungen aus der Top-10-Liste der OWASP (2) zu erkennen. Dazu zählen zum Beispiel, das Erkennen und Blockieren von SQL-Injections oder das Überprüfen von XML-Eingaben basierend auf XML-Schemas.
Zusätzlich zu den Überprüfungen ist ein weiteres wichtiges Merkmal der WAF, die Bereitstellung eines sicheren und zuverlässigen SSL-Stacks für die Clients. In der Sicherheitsforschung werden immer wieder Fehler im SSL-Protokoll oder in bestimmten Implementierungen davon gefunden. Oft ist es nicht möglich, den Webserver zu patchen oder den Patch-Status am aktuellen Stand zu halten, da die Anwendung noch verwendet wird, aber vom Hersteller nicht mehr unterstützt wird. Jüngste Angriffe, die diesen Mustern folgen, sind zum Beispiel Poodle und Goldendoodle (3)
Da interne und externe Webdienste intensiv genutzt werden, betreibt ein Unternehmen in der Regel mehrere Webanwendungen, wie zum Beispiel ein Ticketsystem oder ein CRM-Tool. Diese laufen verteilt auf verschiedenen Webservern wie Apache oder Windows IIS. Eine WAF bietet eine ganzheitliche, zentralisierte Möglichkeit, diese verschiedenen Webserver und Webanwendungen zu schützen.
Fazit
Während sich WAFs bereits auf den Schutz von HTTP-Datenverkehr konzentrieren, legen Clientsicherheitsmechanismen wie Application Control und HTTP-Proxys den Schwerpunkt auf den Schutz der Clients.
Da Clients (Browser wie Chrome oder Firefox) immer mehr Möglichkeiten haben, clientseitigen Code wie JavaScript direkt im Browser auszuführen, müssen Browser vor bösartigem Code geschützt werden. Es gab bereits Angriffe, bei denen bösartiges JavaScript in eine legitime Website durch eine Werbung injiziert wurde, um Benutzer-Anmeldeinformationen abzugreifen. Marktführer in der Websicherheit wie Zscaler oder Forcepoint Websecurity sind in der Lage, bösartige JavaScripts von Webseiten zu filtern.