Door Ruud Zwanenburg

Wat is Web App Firewall en waarom zou je het gebruiken?

Beveiliging is tegenwoordig een steeds belangrijker onderdeel in de ICT. Voor hackers en oplichters zijn het hoogtijdagen. Met grote regelmaat lees je dat een bedrijf “gegijzeld” is en geld moet betalen om hun bestanden terug te krijgen of de hele financiële administratie en klantgegevens op straat liggen of er weer een data lek is gevonden door bijvoorbeeld SQL injectons.

Maar waar komen die hackers dan naar binnen? Dit kan bijvoorbeeld door de externe toegang die medewerkers ook gebruiken of webservers en gebruikers die internet gebruiken. Nu zullen velen ook hiervan weer zeggen “onze website draait extern”. Maar dit is vast niet de enige webserver die aanwezig is. Bij een hybride office 365 implementatie is er ook een webserver “on premisse” aanwezig. Verder wordt er regelmatig gebruik gemaakt van SOAP-server om data over te zetten van bijvoorbeeld website naar interne databases. Ook connecties van en naar clouddiensten komen veel voor.

Om dit beter te beveiligen kan de Citrix Web App Firewall (vanaf hier WAF) worden gebruikt. Het is een Application Delivery Controller ofwel ADC (Netscaler) feature waar een premium licentie voor nodig is.

Scannen kan op twee manieren:

  • Met Signatures
  • Custom scans

Signature Scans

Signature Sans werken op dezelfde manier als een virusscanner. Hierdoor kosten ze weinig resources van de ADC. In de Signature files zitten meer dan 1300 “well known attacks” verdeeld over een aantal groepen. De Signatures worden regelmatig bijgewerkt.

Custom Scans

Custom scans kosten wat meer resources van de ADC.

Voorbeelden van custom scans zijn bv:

  • Startpagina’s
  • SQL injections
  • Cross site scripting
  • Cookie Consistancy
  • Buffer overflow protection
  • Credit Card blocking of masking

Citrix WAF gebruikt 3 type omschrijvingen voor bescherming:

  • Basic
  • Advanced
  • Unknown Web Attacks

Basic

Onder Basic vallen de eenvoudige websites bestaande uit alleen HTML-pagina’s. Dus geen formulieren, databases of scripts. Deze site worden doorgaans alleen beschermd met een groep uit de Signatures scans.

Advanced

Onder de advanced websites vallen de meeste websites. Deze worden doorgaans beschermd met een groep uit de Signatures scans aangevuld met een aantal custom scans die van toepassing zijn op de site.

Unknown Attacks

Bij deze keuze begin je met alles niet toe te staan. Daarna ga je met een test team door de site en zet je elke actie die nodig is om de site te gebruiken open. Dit is dan ook de meest resource intensive manier voor de ADC. En moet bij updates op de websites constant bijgewerkt worden.

 

Handige links

Wil je meer weten over Citrix Application Firewall, neem dan gerust contact met ons op.