Application Level Gateway

Eine Web Application Firewall (WAF) ist eine Technologie, die Web-Anwendungen vor Angriffen über das HTTP-Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application-Level-Gateway (ALG) oder Application-Level-Firewall (ALF) bezeichnet.

Gegenüber klassischen Firewalls und Intrusion Detection Systemen (IDS) untersucht eine WAF die Kommunikation auf der Anwendungsebene. Dazu ist normalerweise keine Änderung an den zu schützenden Web-Anwendungen nötig.

Inhaltsverzeichnis

Schutz

Angriffe vor denen eine WAF Schutz bieten soll:

Funktionsweise

Die WAF untersucht alle eingehenden Anfragen und die Antworten des Web-Servers. Bei verdächtigen Inhalten wird der Zugriff unterbunden. Zur Klassifizierung von gefährlichen/verbotenen Aktionen wird häufig in einer vorgeschalteten Lernphase ein Application Security Scanner eingesetzt. Dieser analysiert, oft im Dialog mit einem Nutzer, die Anwendung und erzeugt daraus Profile für zulässige Aktionen. Alternativ werden durch eine Art Crawler oder auch Application Security Scanner die Webseiten der Webapplikation angesteuert und enthaltene Formularfelder durchprobiert. Die Applikation läuft in dem Fall in einer Art passivem Modus, das heißt, erlaubte und nicht erlaubte Eingaben werden in einer Logdatei festgehalten. Der Administrator kann dann nachträglich sehen, welche Aktionen in einem scharfen Betrieb geblockt würden und kann diese selektiv freischalten, indem er Sonderregeln einrichtet. Die konkreten Verfahren variieren von Anbieter zu Anbieter.

Sind beispielsweise zwei Parameter für ein untersuchtes Formular definiert, kann die WAF alle Requests blockieren, die drei oder mehr Parameter enthalten. Ebenso kann die Länge und der Inhalt der Parameter geprüft werden. Alleine durch die Spezifikation von allgemeinen Regeln über die Beschaffenheit von Parametern, z. B. der maximalen Länge und des erlaubten Wertebereichs können viele Angriffe verhindert oder für den Angreifer erschwert werden.

Arten

Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Es werden folgende Arten aufgrund ihre Position in der Netzwerk- und Servertopologie unterschieden:

  • Reverse Proxy
  • Appliance
  • Plugin im Webserver
  • passives Device (IDS)

Aufgrund seiner zentralen Position ist ein WAF ein idealer Kandidat, um – ähnlich wie bei einer Firewall – alle Requests an eine Applikation zu untersuchen und gegebenenfalls zu korrigieren oder zu verwerfen.

Vorteile

  • Mehrere Ebenen des Schutzes (zusätzlicher Schutz zu vorhandenen Filtern in der Anwendung)
  • Sicherheitslücken können gleichzeitig für mehrere Anwendungen hinter der WAF geschlossen werden
  • Schutz von Anwendungen, die nicht mehr aktualisiert werden können (Altsysteme)
  • Möglichkeit zum Schutz von verwundbaren Drittanbieter-Anwendungen, bis diese gepatcht werden

Nachteile

  • Sicherheitslücken können durch ein Umgehen der WAF weiterhin ausgenutzt werden
  • Durch Unterschiede bei der Request-Bearbeitung sind neue Angriffe möglich (beispielsweise HTTP Request Smuggling)
  • Störung des Betriebs durch zu restriktive oder falsch konfigurierte Filter
  • Anwendungen, die aktive Inhalte auf Seiten des Clients einsetzen (z. B. JavaScript) werden schlecht unterstützt oder erfordern einen erheblichen Konfigurationsaufwand
  • der Einsatz einer WAF kann zu Unachtsamkeit bei der Entwicklung der Anwendung verleiten – eine WAF ist jedoch kein Ersatz für eine sichere Anwendung

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Application-level gateway — In the context of computer networking, an application level gateway [RFC 2663 ALG: official definition (refer section 2.9)] (also known as ALG or application layer gateway) consists of a security component that augments a firewall or NAT employed …   Wikipedia

  • Application-level gateway — Applications level gateway, или ALG (англ. «шлюз прикладного уровня»)  компонент NAT маршрутизатора, который понимает какой либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом,… …   Википедия

  • Application Layer Gateway — Das Application Layer Gateway (auch bekannt unter den Namen ALG oder Application Level Gateway) stellt eine Sicherheitskomponente in einem Computernetzwerk dar. Bei der Übertragung von Daten in einem Netzwerk verwenden einige Protokolle wie… …   Deutsch Wikipedia

  • Application Level Firewall — Eine Web Application Firewall (WAF) ist eine Technologie, die Web Anwendungen vor Angriffen über das HTTP Protokoll schützen soll. Teilweise wird diese Technologie auch als Web Shield, Application Level Gateway (ALG) oder Application Level… …   Deutsch Wikipedia

  • Circuit-level gateway — A circuit level gateway is a type of firewall. Circuit level gateways work at the session layer of the OSI model, or as a shim layer between the application layer and the transport layer of the TCP/IP stack. They monitor TCP handshaking between… …   Wikipedia

  • Circuit-Level Gateway — A circuit level gateway is a type of firewall.Circuit level gateways work at the session layer of the OSI model, or as a shim layer between the application layer and the transport layer of the TCP/IP stack. They monitor TCP handshaking between… …   Wikipedia

  • Application Gateway — Eine externe (Netzwerk oder Hardware ) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist… …   Deutsch Wikipedia

  • Application firewall — An application firewall is a form of firewall which controls input, output, and/or access from, to, or by an application or service. It operates by monitoring and potentially blocking the input, output, or system service calls which do not meet… …   Wikipedia

  • Gateway Project — The Gateway Project shown in red would parallel the current right of way The Gateway Project is a proposed American rail expansion project to build a high speed rail right of way and to alleviate the bottleneck along the Northeast Corridor (NEC)… …   Wikipedia

  • Gateway Plus — The Gateway Plus (previously known as Birmingham Gateway) project is a redevelopment scheme to regenerate Birmingham New Street Station and the Pallasades Shopping Centre above it in Birmingham, England. The project aims to enhance the station to …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”