Application Firewalls – passiv vs aktiv

Aus xinux.net
Zur Navigation springen Zur Suche springen

Was ist das?

Passive Application Firewall
  • Passive Application Firewalls analysieren den Datenverkehr und identifizieren potenziell schädliche oder unerwünschte Aktivitäten, ohne den Datenverkehr zu blockieren.
  • Sie überwachen den Verkehr und generieren Warnmeldungen oder Protokolleinträge, wenn verdächtige Aktivitäten erkannt werden, bieten jedoch keine unmittelbare Reaktion auf Angriffe.
  • Eine passive Application Firewall überwacht den Datenverkehr eines Web-Servers und erkennt eine verdächtige SQL-Injection-Angriffsversuche.
  • Anstatt den Angriff sofort zu blockieren, zeichnet die Firewall die Details des Angriffs auf und sendet eine Warnmeldung an das Sicherheitsteam.
  • Das Sicherheitsteam kann dann entsprechende Maßnahmen ergreifen, wie z.B. die Aktualisierung der Webanwendung, um die Sicherheitslücke zu schließen.
Aktive Application Firewall
  • Aktive Application Firewalls gehen über die passive Überwachung hinaus und ergreifen proaktive Maßnahmen zum Blockieren oder Filtern von verdächtigem oder bösartigem Datenverkehr.
  • Sie können Echtzeitentscheidungen treffen, um den Datenverkehr basierend auf vordefinierten Regeln zu blockieren oder zu modifizieren, um potenzielle Bedrohungen zu neutralisieren, bevor sie das interne Netzwerk erreichen.
  • Eine aktive Application Firewall erkennt einen Versuch, einen Cross-Site-Scripting (XSS) Angriff auf eine Webanwendung durchzuführen.
  • Die Firewall blockiert sofort den verdächtigen Datenverkehr und sendet eine Warnmeldung an das Sicherheitsteam.
  • Dadurch wird verhindert, dass der Angriff die Anwendung erreicht und potenziell Schaden verursacht, während gleichzeitig das Sicherheitsteam über den Vorfall informiert wird, um weitere Maßnahmen zu ergreifen.
Passive Application Firewall
  • Beispiel: Snort ist ein bekanntes Open-Source-Netzwerk-Intrusion-Detection-System (NIDS), das oft als passive Application Firewall eingesetzt wird. Es überwacht den Netzwerkverkehr, erkennt Angriffsmuster und generiert Warnmeldungen oder Protokolleinträge, ohne den Datenverkehr aktiv zu blockieren.
Aktive Application Firewall
  • Beispiel: Imperva Web Application Firewall (WAF) ist eine Lösung, die aktive Maßnahmen zur Abwehr von Webanwendungsangriffen ergreift. Sie analysiert den eingehenden und ausgehenden Datenverkehr in Echtzeit, identifiziert potenziell schädliche Aktivitäten und blockiert oder modifiziert den Datenverkehr gemäß den vordefinierten Sicherheitsrichtlinien, um Angriffe zu verhindern.
Alternatives Beispiel für aktive Application Firewall
  • Beispiel: Suricata ist ein weiteres Beispiel für ein Netzwerküberwachungssystem, das im IPS-Modus betrieben werden kann. Suricata analysiert den Netzwerkverkehr in Echtzeit, erkennt Angriffe und kann aktiv den Datenverkehr blockieren oder modifizieren, um Sicherheitsverletzungen zu verhindern.
Abgerufen von „https://xinux.net/index.php?title=Application_Firewalls_–_passiv_vs_aktiv&oldid=51620