Ein Virtual Private Server (VPS) ist eine schlanke und trotzdem leistungsfähige und gut skalierbare Möglichkeit, Ihre Webanwendung ans Netz zu bringen. Dabei darf die Sicherheit aber nicht vernachlässigt werden. Es ist immer empfehlenswert, Ihre Webanwendung durch eine Web Application Firewall (WAF) zu schützen – und wenn Ihre Webanwendung mit sensiblen Kundendaten umgeht, wie etwa im E-Commerce, dann ist eine WAF sogar unentbehrlich.

Worauf dabei zu achten ist, das erfahren Sie im folgenden Beitrag. Und auch praktisch stehen wir Ihnen zur Seite: Ist Ihnen die Einrichtung und Wartung Ihrer WAF zu komplex, aufwendig oder personalintensiv, können Sie das nämlich auch einfach uns überlassen – mit den Advanced Services von Host Europe.

Was ist eine Web Application Firewall (WAF)?

Eine Web Application Firewall, auch als Web Shield bezeichnet, ist eine besondere Art der Application Level Firewall (ALF): Sie schützt Webanwendungen vor schädlichem HTTP- und HTTPS-Traffic. Hierzu zählen etwa Angriffe per SQL oder Script Injection, Cross-Site Scripting (XSS), Buffer Overflow, Parameter Tampering und Hidden Field Tampering oder auch Cookie Poisoning. Die Web Application Firewall analysiert, filtert und blockiert nicht nur eingehenden Verkehr, sondern die Kommunikation zwischen Webservern und Clients in beide Richtungen. Sie kann daher auch so konfiguriert werden, dass sie verhindert, dass unautorisierte Daten den Webserver verlassen.

Während eine herkömmliche Firewall den Verkehr auf Netzwerk- und Transportebene nach OSI/ISO-Modell untersucht, arbeitet die Web Application Firewall auf Anwendungsebene. Sie ist daher kein Ersatz für andere Typen von Firewalls, sondern vielmehr eine Ergänzung. Wie andere Firewalls kann auch eine WAF eine auf dem Server laufende Software sein, cloudbasiert oder sogar hardwarebasiert. Die Wahl der konkreten WAF ist abhängig von Ihrem Webserver: Es gibt Firewalls, die eine große Anzahl von Webservern unterstützen, während andere spezifisch nur mit einem einzigen Typ von Webserver einsetzbar sind.

Von Blocklistung (Blacklisting) zu Allowlisting (Whitelisting) und selbstlernenden WAFs

Um Ihre Webanwendung zu schützen, entscheidet die Web Application Firewall nach vorgegebenen Regeln (auch als Policies bezeichnet), welcher Traffic passieren bzw. nicht passieren darf. Wenn Regeln vorgegeben sind, welcher Traffic unterbunden werden muss, wird dies als sogenanntes Blacklisting bezeichnet; Regeln bezüglich zulässigen Traffics dagegen bezeichnet man als Whitelisting. Manche Anbieter sprechen statt Blacklisting auch von Blocklisting, und statt Whitelisting von Allowlisting.

Warum heißt die Blacklist jetzt Blocklist und die Whitelist Allowlist?

Moderne Web Application Firewalls arbeiten mehr und mehr mit Whitelisting, denn: wenn man sich zu sehr auf Blacklisting verlässt, werden alle Angriffsvektoren durchgelassen, die zu neu sind, um schon auf Blacklists aufzutauchen (Stichwort Zero-Day Threats). Sicherer und gleichzeitig benutzerfreundlich ist es, wenn vertrauenswürdige Quellen in die Whitelist aufgenommen werden. In jedem Fall sollten Ihre Änderungen an der Blacklist bzw. Whitelist – also Regeln und Ausnahmen, die Sie definieren – im Protokollmodus getestet werden. Dabei wird lediglich protokolliert, ob ein bestimmtes Datenpaket durchgelassen bzw. abgewiesen worden wäre, wenn die zugehörige Regel schon aktiv gewesen wäre. So können Sie prüfen, ob Ihre Regeln erwünschten Traffic blockieren.

Auch Web Application Firewalls arbeiten zunehmend mit Machine Learning bzw. Artificial Intelligence. Dessen einfachste Ausprägung ist sogenanntes Whitelist Learning. Aber auch Merkmale bösartigen Traffics können mit Hilfe von Machine Learning nach einer Lernphase mit zunehmender Genauigkeit von Web Application Firewalls erkannt werden. Features, die hierbei berücksichtigt und ausgewertet werden, sind etwa zeitliche Muster von Requests, der Standort ihres Ursprungs, die Größen von HTTP-Objekten und die Verteilung von HTTP-Status-Codes.

Proprietär oder Open Source?

Wie in vielen Bereichen der IT-Sicherheit haben Sie im Bereich WAF die Wahl zwischen Open-Source-Software und kommerziellen Lösungen. Wie so oft gilt auch hier, dass Open Source durch Transparenz und oft gute und aktive Nutzer-Communities punktet – und natürlich durch geringere Kosten für Lizenzen – aber arbeitsintensiver in der Installation und Administration ist.

Kommerzielle WAFs sind häufig als cloudbasierte Lösungen im Sinne einer WAF-as-a-Service verfügbar. Sie lassen sich an verschiedene Typen von Webservern anpassen, etwa Apache, NGINX, Microsoft IIS oder Oracle WebLogic. Zudem schützen sie in der Regel gegen eine sehr breite Palette von Angriffen. Beliebte Anbieter für cloudbasierte WAF sind Microsoft mit der Azure WAF, die Schweizer Firma Ergon mit dem Airlock Gateway (auch in einer kostenfreien Community Edition), Amazon mit AWS WAF , der Content-Delivery-Network-Anbieter Cloudflare oder Sucuri (die Sucuri Website Security Suite ist auch bei Host Europe erhältlich).

Open-Source-WAFs unterstützen oft eine geringere Anzahl von Webservern oder sind sogar nur mit einem einzigen Typen verwendbar: so ist beispielsweise NAXSI eine sehr leichtgewichtige WAF, die nur mit NGINX funktioniert und auch nur gegen Cross-Site Scripting (XSS) und SQL Injection schützt.

Als Open Source steht auch das sogenannte OWASP ModSecurity Core Rule Set (CRS) zur Verfügung. Hierbei handelt es sich nicht um eine Open-Source-WAF, sondern einen regelmäßig aktualisierten Satz von Regeln, die von der renommierten OWASP Foundation erstellt und gepflegt werden. OWASP steht für Open Web Application Security Project; diese Organisation arbeitet seit vielen Jahren an der Sicherheit von Anwendungen im Web.

Web Application Firewall schnell und einfach umsetzen

In die Entscheidung für oder gegen eine konkrete WAF-Lösung sollte auch eingehen, welches Reporting man benötigt und in welche bereits bestehenden Systeme die WAF eingebettet werden soll: So sollte beispielsweise, wenn ein SIEM-System (Security Information and Event Management) betrieben wird, eine WAF in jedem Fall Events automatisiert an dieses berichten. Dieses erfolgt in der Regel in standardisierten Formaten wie etwa JSON und kann, wenn eine geeignete WAF gewählt wird, nahezu in Echtzeit stattfinden.

Sie sehen: Die Möglichkeiten, eine Web Application Firewall optimal an Ihre Bedürfnisse und die Gegebenheiten Ihrer Webapplikationen anzupassen, sind fast endlos. Das ist gleichzeitig eine gute und eine schlechte Nachricht, denn: Sie können mit ihrer Hilfe die Sicherheit der Webanwendungen signifikant erhöhen und Folgekosten durch erfolgreiche Angriffe vermeiden. Gleichzeitig bedarf es hierzu aber hoher Expertise und auch der Zeit, um eine geeignete Software auszuwählen und sich mit der Konfiguration zu beschäftigen.

Wenn Sie keine freien personellen Ressourcen für die Auswahl und Administration Ihrer Web Application Firewall haben oder einfach und unkompliziert auf die langjährige Erfahrung von Host Europe zurückgreifen wollen, dann sind unsere Advanced Services die richtige Wahl. Wir installieren und konfigurieren Ihre Web Application Firewall optimal und sorgen für die fortlaufende Administration und Aktualisierung.

Tipp: So entfernen Sie Schadcode von Kundenwebseiten.

Titelmotiv: Bild von Robinraj Premchand auf Pixabay

Host Europe
Letzte Artikel von Host Europe (Alle anzeigen)

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten