Klassische Firewall schützt nicht die Webanwendungen

24 Jul 2008 [10:51h]

Klassische Netzwerk-Firewalls bieten keinen Schutz bei Angriffen auf der Anwendungsebene. Wer seine Webanwendungen auf Sicherheitslücken überprüfen will, sollte sogenannte Applikationsscanner einsetzen, rät das IT-Profimagazin iX [2] in der aktuellen Ausgabe 8/08. Zwar ersetzen diese Hilfsmittel nicht die abschließende manuelle Überprüfung, einfache Schwachstellen finden sie jedoch äußerst effizient.

Die Nutzung von Webanwendungen ist heutzutage für Unternehmen wie Privatpersonen eine Selbstverständlichkeit – was ihre Attraktivität für Hacker enorm erhöht. Der Diebstahl von Kreditkarten- und anderen vertraulichen Informationen zum Beispiel über Cross-Site Scripting, einer Manipulation des Browsers, ist ein rentables Geschäft. Da die Angriffe auf der Anwendungsebene, also innerhalb zugelassener Protokolle, stattfinden, können klassische Netzwerk-Firewalls die Webanwendungen nicht schützen.

Dieser Gefahr, auch als „Port-80-Problem“ bekannt, kann man mit sogenannten Webapplikations-Firewalls (WAF) begegnen. Sie analysieren auf der Anwendungsebene sowohl die eingehenden Anfragepakete an den Webserverdienst, als auch dessen ausgehende Antworten.

Auf die Art sollen sie sicherstellen, dass keine bösartigen Anfragen an den Dienst gelangen und er keine vertraulichen Daten zurückliefert. Im Unterschied zu „normalen“ Schwachstellenscannern suchen die Applikationsscannern nach individuellen Lücken einzelner Webanwendungen. Sie setzen eine Ebene höher an und durchforsten nicht das Betriebssystem und die Dienste, sondern die statischen und dynamischen Inhalte.

Allerdings können diese Hilfsmittel nicht die manuelle Überprüfung durch einen Sicherheitsexperten ersetzen.

Vor allem wenn es um komplexe Schwachstellen geht, sind den automatisierten Werkzeugen Grenzen gesetzt.

Auch Logikfehler, die meist aufgrund fehlender Plausibilitätsprüfung entstehen, können nicht aufgedeckt werden.

Auf welches Produkt letztendlich die Wahl fällt, hängt in der Praxis oftmals nicht alleine vom reinen Scan-Ergebnis ab, sondern auch davon, wie sich der Scanner in bestehende Umgebungen und organisatorische Prozesse einbinden lässt.

Bild: Heise Medien

Nachrichten

Firewall, IT-Profimagazin-iX, Netzwerk-Firewall, Webanwendungen

Ihr Artikel auf Business Traveler

Newsletter abonnieren

Zum Thema

Vorsicht bei Veröffentlichung privater Daten

24.07.2008

Wer im Internet selbst Informationen über sich preisgibt, hat es schwer, im Nachhinein Löschansprüche durchzusetzen. Vor allem bei Meinungsäußerungen in Internetforen fehlt hier eine generelle gesetzliche Grundlage, schreibt das IT-Profimagazin iX in seiner aktuellen Ausgabe 8/08.

[...]

Sicherheit von Web-Applikationen stärker in den Fokus rücken

25.06.2008

„Das jüngste Datenleck bei elektronischen Einwohnermeldeämtern zeigt: Das Thema Datensicherheit im Web wird viel zu oft auf die leichte Schulter genommen“, meint Dr. Georg Heß, Co-Leader der deutschen OWASP-Sektion und CEO von art of defence.

[...]

iX-Magazin stellt Redaktionssysteme auf den Prüfstand

18.11.2007

Einfach bedienbare Redaktionssysteme müssen nicht zwangsläufig teuer sein. Open-Source-Varianten decken die gesamte Spannbreite vorstellbarer Einsatzmöglichkeiten für Content-Management-Systeme (CMS) im Web ab, schreibt das IT-Profimagazin iX in der Ausgabe 12/07.

[...]