Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
En firewall på applikationsniveau kan lade virksomhederne sætte nye web-applikationer i drift hurtigere, fordi de ikke behøver at sikkerhedstjekke alt.
I takt med at hackerangrebene er rykket fra at være rettet mod netværksniveauet til at gå målrettet efter applikationerne, følger firewall-teknologien med. Nye typer firewalls kan forhindre angreb som for eksempel SQL-indsætning og andre former for udnyttelse af manglende inputvalidering.
En web-applikationsfirewall fungerer som en proxyserver. Det vil sige, at den tager imod forespørgsler fra webbrowsere, som om den selv er den webserver, forespørgslerne er sendt til. Den sammenligner forespørgslen med en politik for, hvad der er tilladt at sende til webserveren. Hvis forespørgslen er lovlig, bliver den sendt videre. Set fra webserverens side fremtræder applikationsfirewall'en som en browser.
Men kontrollen stopper ikke her. Når webserveren svarer, går også dette svar til applikationsfirewall'en. Her bliver det tjekket for, at det er i overensstemmelse med sikkerhedspolitikken.
- Måske kan det lykkes en hacker at sende en forespørgsel, der medfører, at serveren returnerer en stribe kreditkortnumre. Men det kan vi blokere, eller vi kan udskifte en del af hvert nummer med stjerner, fortæller Roy Scotford fra firmaet F5 Networks.
F5 Networks fremstiller web-applikationsfirewall'en Trafficshield. Firmaet kommer fra proxyverdenen, hvor det især er kendt for systemer til at fordele forespørgsler mellem flere webservere.
Analysefirmaet Gartner spår, at de to verdener vil smelte sammen. De venter, at i 2007 vil alt udstyr til at kontrollere og accelerere webapplikationer blive leveret med indbyggede funktioner til applikationsfirewalls.
Proxy-firewalls er ingen ny opfindelse. Men for nogle år siden var flere analytikere tæt på at erklære dem døde og borte. I stedet samlede markedet sig om såkaldte stateful inspection-pakkefiltre. Det er firewalls, der virker på netværksniveau, hvor de sorterer trafikken ud fra IP-adresser og portnumre. Med stateful inspection har de mulighed for at genkende TCP-forbindelser.
Når proxy-firewalls nu igen spås en fremtid, skyldes det to ting. Dels er hardwareteknologien blevet hurtigere, dels er der færre applikationer, der skal skrives proxyprogrammer til. I dag kan leverandørerne koncentrere sig om at skrive programmer, der kan håndtere web, da de fleste netværksprogrammer anvender web som deres grænseflade.
Roy Scotford fremhæver udpakning af SSL-trafik (Secure Sockets Layer) som en fordel ved applikationsfirewall'en:
- SSL-trafik er krypteret. Derfor kan sikkerhedsprogrammer, der opsnapper SSL-pakker, ikke se, hvad de indeholder. Men når applikationsfirewall'en kan dekryptere SSL-datastrømmen, kan den kontrollere den ud fra sikkerhedspolitikken, siger han.
F5's Trafficshield kan udstyres med SSL-certifikat, så SSL-forbindelsen slutter i den. Når trafikken skal sendes videre til slutserveren på det interne netværk, kan den krypteres igen eller sendes ukrypteret. Roy Scotford regner med, at vi i fremtiden vil se en arbejdsdeling mellem traditionelle stateful inspection-firewalls og applikationsfirewalls. Den traditionelle firewall står forrest og fjerner alle pakker, der ikke skal ind på nettet. De pakker, der skal ind til webserveren, sendes så til web-applikationsfirewall'en for videre kontrol.
To alternativer til web-applikationsfirewall'en udgøres af IDS'er (Intrusion Detection System) og IPS'er (Intrusion Prevention System). De arbejder på netværkslaget og er typisk baseret på signaturer. Derfor kan de kun genkende angreb, der passer til en signatur. Desuden kender de ikke til den kontekst, en netværkspakke indgår i.
Ifølge Amichai Shulman fra firmaet Imperva, der fremstiller en web-applikationsfirewall, er to ud af tre web-applikationer sårbare over for SQL-indsætning. Det er en form for sårbarhed, der lader en angriber ændre på de SQL-forespørgsler, der sendes til web-applikationens bagvedliggende database. På den måde kan et uskyldigt søgefelt føre til, at en hacker får adgang til hele kundedatabasen eller afvikler kommandoer på databaseserveren. Den slags angreb beskytter web-applikationsfirewalls imod.
Organisationen OWASP (Open Web Application Security Project) har udarbejdet en top-ti over de alvorligste sårbarheder i webapplikationer, blandt andet manglende validering af brugerens input, forkert opsat adgangskontrol og mulighed for at udnytte cross site scripting. Det er en metode, der giver angribere mulighed for at afvikle scriptkode i brugerens browser ved at smugle den ind gennem en sårbarhed i webapplikationen.
Billedtekst:
Webapplikationsfirewall TrafficShield kan køre som et modul på F5's 6400-platform.