In einer Studie aus dem Jahr 2002 kam die Gartner Group zu dem Schluss, dass mehr als 70 Prozent aller böswilligen Angriffe auf diesem neuen Kampfschauplatz - der Anwendungsebene - stattfinden. Und die Presse berichtet regelmässig über Zwischenfälle, die auf Phishing, Cross-Site-Scripting, SQL-Injection oder andere Angriffe auf Dienste zurückzuführen sind. Man denke nur an den im März 2005 von der britischen Polizei aufgedeckten Versuch von Hackern, 220 Millionen Pfund von Konten der Sumitomo Bank zu transferieren, oder an die Schliessung der Datenhandelsfirma Choice-Point aus Atlanta, nachdem Informationen über 145 000 Personen aus deren Datenbank gestohlen worden waren. Für diese Situation ist eine ganze Reihe von Faktoren verantwortlich: Web-Anwendungen sind attraktive Ziele: Ein erfolgreicher Angriff gibt dem Eindringling die Möglichkeit, Transaktionen durchzuführen, vertrauliche Informationen zu stehlen und den Ruf und das Markenimage eines Unternehmens erheblich zu beschädigen. Da Web-Anwendungen oft hoch komplex sind und unter grossem Zeitdruck entwickelt werden, weisen sie viele Schwachstellen auf, die ausgenützt werden können.
Mangelhafte Sicherheitskontrollen auf der Ebene des Clients, der eine Website anfordert, erleichtern Remote-Angriffe. Ob URL, Header-Informationen, Cookies, im Cache gespeicherte oder nicht gespeicherte Parameter - ein Hacker kann sämtliche HTTP(S)-Requests manipulieren, um Befehle einzugeben, mit denen die Anwendungssoftware korrumpiert werden kann.

Hacker nutzen für ihre Angriffe eine ganze Reihe unterschiedlicher Techniken. Einige Beispiele: Parameter können manipuliert werden, ganz gleich, ob sie versteckt sind oder nicht. So kann ein Hacker etwa mit bestimmten Sequenzen den Wert von versteckten Feldern ändern und auf diese Weise von einem niedrigeren Preis profitieren, den er selbst eingesetzt hat.
Durch Manipulation von Cookies kann ein Hacker beispielsweise die Session eines Nutzers übernehmen, den die Anwendung bereits authentifiziert hat, und dessen Zugriffsrechte erlangen.
Mittels Cross-Site-Scripting, bei dem die Zielanwendung genutzt wird, um bösartige Codes weiterzugeben (Trojaner, Key-logger), können Hacker die Rechner der Kunden eines Unternehmens infizieren. Mittlerweile werden diese Angriffe häufig mit Phishing kombiniert und dadurch noch wirkungsvoller.
Die Zahl so genannter unbekannter Angriffe wächst rapide. Diese Angriffe nehmen spezifische Schwachstellen einer Anwendung ins Visier, die noch nicht vollständig identifiziert sind oder für die noch keine Fixes entwickelt wurden. Dabei werden oft mehrere Angriffstechniken kombiniert: Ein ganzes Ensemble aus bösartigem Code, Viren und Trojanern wird eingesetzt, um die vorhandene Abwehr-Software auszuhebeln.
Die überwiegende Mehrzahl dieser Angriffe auf der Anwendungsebene wird selbst von den neuesten Versionen von herkömmlichen Firewalls oder Intrusion-Prevention-Systemen (IPS) nicht erkannt. Um die Unternehmen vor diesen wachsenden Gefahren schützen zu können, ist ein neues Sicherheitskonzept erforderlich: Aus diesem Grund wurde die Application-Firewall entwickelt.

Filterung auf der Anwendungsebene

Die Reverse-Proxy-Technologie versetzt eine Firewall in die Lage, alle über HTTP- und HTTPS laufenden Benutzeranfragen abzufangen, damit sie analysiert werden können, bevor sie die Zielanwendungen erreichen. Dazu muss die SSL-Verbindung entschlüsselt werden, um auf den digitalen Datenstrom zugreifen zu können. Weiterhin sollte eine solche Lösung so konfiguriert werden können, dass sich die Nutzer authentifizieren müssen - wahlweise durch einfache Authentifizierung etwa durch Login mit Benutzername und Passwort, starke Authentifizierung (Radius, RSA SecurID) oder sogar gegenseitige Authentifizierung (X509-Zertifikat).
Zur Erreichung eines höchsten Sicherheitslevel sollte eine Vielzahl der nachfolgenden Filtermechanismen eingesetzt
werden. URL-Normalisierung hat etwas gewährleistet, dass Requests den HTTP-/RFC-Spezifikationen entsprechen und keine unzulässigen Zeichen enthalten. Sofort nach der Installation eliminiert die Lösung bekannte Angriffe, die auf Escape-Folgen, Directory Traversal oder anderen nicht zulässigen Codesequenzen beruhen. Die parametrische Kontrolle von Headern (Namen, Grösse) und Methoden (GET, POST, HEAD) blockt weitere bekannte Angriffe ab wie Speicherüberlauf und Angriffe, bei denen Webdav- oder Options-Methoden eingesetzt werden.
Anfragen, die diesen Filter passiert haben, müssen dann mit einer Blacklist abgeglichen werden. Diese Liste blockt unverzüglich alle bekannten Angriffe auf die Server und deren wesentliche Anwendungssoftware-Komponenten wie SQL-Injection, Instruction Injection, IIS-Angriffe, Apache und PHP.

Da die Bedrohungen für Anwendungen immer raffinierter und vielfältiger werden, sind die derzeitigen Erkennungsmechanismen, die Angriffe mithilfe von Signaturen, neuronalen oder Verhaltensanalysen zu erkennen versuchen, nicht länger ausreichend. Eine komfortable Application-Firewall zwingt die Nutzer, genau so zu navigieren, wie es die Entwickler einer Anwendung vorgesehen haben und verfährt dabei nach einem integrierten positiven Sicherheitsmodell.
Solche Sicherheitsmassnahmen basieren grundsätzlich auf zwei Mechanismen: Stateful Tracking prüft die Integrität von Session-Cookies im laufenden Betrieb und kontrolliert die Benutzeranfragen in Bezug auf die vorgegebenen Navigationspfade einer Anwendung. Stateful Tracking schützt Anwendungen dynamisch vor zahlreichen Angriffen, die IPS-Systeme nicht erkennen. Dazu zählen etwa die versuchte Umgehung der Authentifizierung durch Session-Manipulation, Forceful Browsing oder die Manipulation von Parametern, ob versteckt, gecacht oder nicht.
Die proaktive Whitelist filtert Anfragen umfassend und lässt nur diejenigen Anfragen zu, die der gewöhnlichen Nutzung einer Anwendung entsprechen. Die Whitelist durchläuft für jede Anwendung eine vollständig automatisierte Anlaufphase.
Immer mehr Unternehmen verwenden zur Unterstützung ihrer E-Business-Transaktionen sowie zur Übertragung von Dateien an ihre Partner das Standardformat XML. Die XML-Kommunikation ist das nächste grosse Angriffsziel für Hacker. Somit muss eine zeitgerechte Firewall prüfen, ob XML-Nachrichten der erwartungsgemässen Nutzung entsprechen und alle anderen, unzulässigen Nachrichten blocken.

Die aufgezeigten und am Markt verfügbaren Mechanismen machen deutlich, dass beim Einsatz dieser der Schutz der unternehmenskritischen Applikationen, derer Daten und der Unternehmensprozesse auf ein sehr hohes Niveau gehoben und auch gehalten werden können.