Unter dem Titel „Anatomie von Cyberangriffen“ haben wir Ihnen aufgezeigt, wie Cyberkriminelle vorgehen, um Zugriff auf Ihre Systeme zu erhalten. Ihre erste Verteidigungslinie gegen solche Angriffe könnten ein AntiVir Proxy und eine Web Application Firewall (WAF) bilden. Wovor diese beiden High Security Services schützen, wie sie funktionieren und warum die beiden Sicherheitslösungen sich gegenseitig hervorragend ergänzen, werden wir Ihnen nachfolgend näher vorstellen.

Was Sie in dem Beitrag erwartet:

  1. Ablauf einer Anfrage aus dem Public Internet

  2. Was ist ein Proxy-Server?

  3. Was ist eine Web Application Firewall?

  4. Herausforderungen beim Einsatz einer WAF

Ablauf einer Anfrage aus dem Public Internet auf einen Server

Ob beim Aufrufen einer Website, einer Anfrage an einen Online-Shop, beim Versenden von E-Mails oder dem Zugriff auf ein ERP-System, Anfragen aus dem Public Internet an einen Server sind allgegenwärtig. Solange der Server keine fehlerhafte Konfiguration oder Schwachstellen aufweist ein unproblematischer Vorgang. Problematisch wird es, wenn der Server eine Schwachstelle aufweist, die ein Angreifer versucht auszunutzen. Um diese externe Verbindung abzusichern und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu reduzieren, sollten Sie einen AntiVir Proxy und eine Web Application Firewall „vor“ den Server schalten. Das heißt, bevor die Anfrage eines Clients auf den Server trifft und dort verarbeitet wird, muss sie zunächst am AntiVir Proxy und der Web Application Firewall (WAF) vorbei. Wie solch eine Anfrage dann abläuft, verdeutlicht das nachfolgende Beispiel zum Aufrufen einer Website:

1. Benutzeraktion: Jemand öffnet seinen Webbrowser und gibt eine URL (z.B. www.example.com) in die Adressleiste ein oder klickt auf einen Link.

2. Anfrage senden: Der Browser sendet eine Anfrage an den Server, der die Webseite hostet. Diese Anfrage wird über das Internet geschick

Eingreifen des AntiVirProxy und der Web Application Firewall:

  • AntiVirus Proxy (AntiVirProxy): Der Datenverkehr wird zuerst von einem AntiVir Proxy verarbeitet. Der Proxy entschlüsselt die Anfrage und überprüft sie auf reguläre Parameter. Sollte der Proxy Viren oder Malware entdecken, blockiert er die Datei oder entfernt die schädlichen Komponenten. Werden bei der Sicherheitsüberprüfung keine verdächtigen Komponenten festgestellt, wird die Anfrage an die WAF übermittelt.
  • Web Application Firewall (WAF): Die entschlüsselte und auf Malware geprüfte Anfrage wird von der WAF empfangen. Diese analysiert den Datenverkehr auf der Anwendungsebene, um spezifische Angriffe wie SQL-Injecion, Cross-Site Scripting (XSS) und weitere Bedrohungen zu erkennen und abzuwehren. Wenn die WAF eine Bedrohung erkennt, blockiert sie die Anfrage oder filtert die schädlichen Teile heraus. Sollten sowohl der AntiVir Proxy als auch die Web Application Firewall keine potenzielle Bedrohung feststellen, wird die Anfrage an den Zielserver weitergeleitet.

3. Server empfängt die Anfrage: Der Server erhält die gefilterte Anfrage und versteht, dass der Benutzer die Startseite der Webseite (meist index.html)     sehen möchte.

4. Verarbeitung der Anfrage: Der Server verarbeitet die Anfrage. Er sucht die angeforderte Seite in seinem Speicher (meist eine Datenbank oder ein Dateisystem).

5. Antwort senden: Der Server sendet die angeforderte Webseite zurück an den Browser des Benutzers. Diese Antwort enthält die HTML-Daten der Webseite.

Eingreifen der WAF und AntiVir Proxy

6. Darstellung der Webseite: Der Browser empfängt die gefilterten und geprüften Daten vom Server und zeigt die Webseite auf dem Bildschirm des Benutzers an.

Durch das Eingreifen der WAF und des AntiVirProxy folglich sichergestellt, dass sowohl eingehende als auch ausgehende Daten auf potenzielle Bedrohungen überprüft und gefiltert werden, um die Sicherheit des Systems und der Benutzer zu erhöhen. Wie die AntiVir Proxy und WAF näher funktionieren, werden wir nachfolgend noch näher vertiefen.

2. Was genau ist ein AntiVir Proxy

Ursprünglich wurden Proxy-Server eingesetzt, um häufig angeforderte Inhalte zwischenzuspeichern und dadurch die Performance zu verbessern. Verkürzte Ladzeiten durch die Nutzung eines Proxy-Servers sind in diesem Anwendungsfall allerdings nicht mehr relevant. Generell lassen sich Proxy-Server in zwei Richtungen einsetzen: Ein Forward-Proxy schützt ein Client-Netzwerk vor Einflüssen aus dem Internet. Ein Reverse-Proxy hingegen schützt einen Webserver als vorgeschaltete Instanz.

Ein AntiVir Proxy nutzt die Funktion des Zwischenspeicherns von Inhalten, um diese auf Sicherheit zu prüfen. Dafür wird der Datenverkehr entschlüsselt und auf Ebene von Transport- und Netzwerkschicht auf Viren, Trojaner und andere Formen von Malware untersucht. Nach der Überprüfung und Entfernung möglicher Bedrohungen wird der als unbedenklich klassifizierte Datenverkehr an die Web Application Firewall weitergeleitet.

Was ist eine Web Application Firewall und wovor schützt diese?

Mittlerweile erfolgen Angriffe vermehrt auf Anwendungsebene, um gezielt Schwachstellen von Webanwendungen wie beispielsweise E-Commerce-Plattformen, Websites oder E-Mail-Dienste auszunutzen. Genau hier kommt die Web Application Firewall (kurz WAF) ins Spiel.

Eine Web Application Firewall ist eine Sicherheitslösung bzw. spezielle Art von Firewall, die darauf ausgelegt ist, Webanwendungen zu schützen. Die WAF überwacht und filtert den HTTP/HTTPS-Datenverkehr. Damit eine WAF verdächtige Aktivitäten erkennen kann, nutzt sie eine Mustererkennung (Pattern Recognition). Diese Muster können sowohl bekannte Angriffssignaturen als auch ungewöhnliche Verhaltensweisen umfassen, die auf neue oder unbekannte Bedrohungen hinweisen. Durch eine permanente Aktualisierung der Signaturen, kann Sie auch automatisiert vor Zero-Day-Angriffen schützen, lange bevor die Sicherheitslücke in der Webanwendung selbst gepatcht werden kann. Damit reduziert ein WAF die Wahrscheinlichkeit eines „erfolgreichen“ Angriffs einer Vielzahl von Bedrohungen:

  • URL-Filterung: Die WAF kann den Zugriff auf bösartige oder unerwünschte Websites blockieren. Dies schützt die Benutzer vor Phishing-Seiten und anderen schädlichen Websites.
  • Inhaltsfilterung: Sie kann bestimmte Arten von Inhalten blockieren, z.B. ausführbare Dateien oder verdächtige Skripte, die potenziell gefährlich sein könnten.
  • SSL/TLS-Inspection: Eine WAF kann verschlüsselten Datenverkehr entschlüsseln, überprüfen und wieder verschlüsseln. Dies ist wichtig, da viele Bedrohungen über verschlüsselte Verbindungen übertragen werden.
  • Schutz vor Zero-Day-Bedrohungen: Die Web Application Firewall nutzt aktuelle Bedrohungsdatenbanken und heuristische Analysen, um neue und unbekannte Bedrohungen zu erkennen und zu blockieren.
  • SQL-Injection: Angriffe, bei denen bösartige SQL-Befehle in Anfragen eingeschleust werden, um Datenbanken zu manipulieren oder auszulesen.
  • Cross-Site Scripting (XSS): Angriffe, bei denen Angreifer bösartige Skripte in Webseiten einschleusen, die von anderen Benutzern ausgeführt werden.
  • Cross-Site Request Forgery (CSRF): Angriffe, bei denen bösartige Anfragen im Namen eines authentifizierten Benutzers gesendet werden.
  • Schutz vor bekannten Schwachstellen: Die WAF kann gegen eine Vielzahl von bekannten Sicherheitslücken und Schwachstellen in verbreiteten Webanwendungen schützen.

Diese Bandbreite an Abwehrmöglichkeiten macht eine Web Application Firewall in Kombination mit einem AntiVir Proxy zu einem essenziellen Bestandteil einer umfassenden Sicherheitsarchitektur.

Herausforderungen beim Einsatz einer Web Application Firewall und eines AntiVir Proxy

Die effiziente und schützende Einrichtung einer solchen Sicherheitslösung erfordert einiges an Erfahrung. Unternehmen, die versuchen, dies in Eigenregie umzusetzen, stoßen schnell an ihre Grenzen. Eine der größten Herausforderungen ist die kontinuierliche Aktualisierung von Patterns und Signaturen, die essenziell für die Wirksamkeit der Web Application Firewall (WAF) und des AntiVir Proxys ist. Ohne regelmäßige Updates können neue Bedrohungen und Angriffsvektoren unentdeckt bleiben, wodurch die Sicherheitsmaßnahmen an Effektivität verlieren. Zudem erfordert die richtige Konfiguration und Feinabstimmung der Filterregeln fundiertes Fachwissen, um Fehlalarme zu minimieren und die tatsächliche Bedrohungserkennung zu maximieren.

Unternehmen müssen auch sicherstellen, dass ihre WAF und AntiVir Proxy nahtlos in ihre bestehende IT-Infrastruktur integriert sind, was zusätzliche Komplexität und technisches Know-how erfordert. Ohne die entsprechende Expertise und Ressourcen laufen Unternehmen Gefahr, ihre Systeme nicht ausreichend zu schützen und potenziell anfällig für Cyberangriffe zu bleiben – umso wichtiger die Abstimmung mit einem erfahrenen Partner.

Fragen zum Thema Web Application Firewall

WAF ist die gängige Abkürzung für Web Application Firewall.

Eine Web Application Firewall (WAF) ist eine Sicherheitslösung, die Webanwendungen vor Angriffen wie SQL-Injection und Cross-Site Scripting schützt. Sie überwacht und filtert den Datenverkehr, erkennt Bedrohungen anhand von Mustern und blockiert schädliche Aktivitäten. WAFs bieten Schutz vor bekannten und unbekannten Bedrohungen, einschließlich Zero-Day-Angriffen. Sie sind ein wesentliches Element zur Sicherung der Integrität und Verfügbarkeit von Webanwendungen.

Die WAF filtert und überwacht den HTTP/HTTPS-Datenverkehr, um spezifische Bedrohungen zu erkennen und abzuwehren. Dabei kann eine Web Application Firewall (WAF) Webanwendungen vor einer Vielzahl von Angriffsarten schützen, wie SQL-Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) und Remote File Inclusion (RFI). Sie verhindert auch Denial of Service (DoS)-Angriffe. Durch regelmäßige Aktualisierung der Signaturen kann sie Zero-Day-Angriffe abwehren, lange bevor Sicherheitslücken in Webanwendungen selbst gepatcht sind.

Ein Zero-Day-Sicherheitslücke bezeichnet eine Schwachstelle in Software oder Hardware, die von Angreifern entdeckt und ausgenutzt wird, bevor der Hersteller von der Schwachstelle erfährt und einen Patch bereitstellen kann. Diese Schwachstellen sind daher besonders gefährlich. Angreifer können Zero-Day-Sicherheitslücken nutzen, um unautorisierten Zugriff auf Daten zu erlangen, Malware zu installieren oder Systeme zu kompromittieren (Zero-Day-Angriffe). Der Begriff „Zero-Day“ bezieht sich darauf, dass die Entwickler keine Zeit hatten, die Lücke zu schließen, bevor sie ausgenutzt wird. Unternehmen und Nutzer müssen auf schnelle und regelmäßige Sicherheitsupdates achten und sollten auf eine permanente Aktualisierung der Signaturen Ihr WAF achten, um solche Angriffe abzuwehren.