Who let the dogs out? Alles wat je moet weten over de WAF. 

Met mijn moeder samen een eindje gaan rijden is vaak een spannende onderneming. Zeker op de momenten wanneer ik de auto bestuur.  

Het is niet dat ik als chauffeur vreselijk onbekwaam ben. Maar de spanning loopt vaak op omdat mijn moeder in iedere passerende weggebruiker levensgevaarlijke situaties voor zich ziet. 

Om de haverklap hoor ik haar adem stokken of juist opgelucht zuchten. Wanneer ze echt op dreef is komt er ook hard geroep naar mij aan te pas. Meestal in de woorden: “kind, kijk toch uit!”. Ik reageer dan vaak ietwat bits en zeg dat ik echt wel weet hoe ik moet rijden en mijn ogen prima functioneren. Haar reactie is altijd briljant. Een bijdehante blik mijn richting uit met daarachter aan: “We zullen wel zien.’’ 

Ze weet dondersgoed dat ik prima mijn weg kan vinden in het verkeer. Maar dat stopt haar niet. Ze blijft als een havik meegluren naar de spreekwoordelijke beren op de weg. Ik laat haar ook. Het bezorgdheidsniveau van mijn moeder vind ik stiekem best aandoenlijk en bovendien helpt ze mij in de vorm van een soort extra check in het drukke verkeer. 

Natuurlijk kan ik wat irritatie voelen als zij haar persoonlijke alarmeringsgeluiden door de auto heen slingert maar eigenlijk moet ik mijn moeder als mijn persoonlijke Web Application Firewall (WAF) zien. Zelfs wanneer ik de omgeving al grondig monitor doet zij voor mij een extra, in-depth scan en waarschuwt ze tijdig bij gevaar. 

Natuurlijk doet een WAF zelf veel meer dan een extra check op je omgeving maar het is een mooie metafoor. Want ondanks je denkt het niet nodig te hebben is het vaak toch een uitkomst. Zelfs wanneer je reeds een Next-Gen Firewall met Intrusion Prevention Security (IDS) en Intrusion Protection Security (IPS) hebt ingeregeld in je omgeving, is een WAF geen overbodige luxe. Want ondanks dat een Next-Gen Firewall, IDS en IPS allemaal scannen op vulnerabilities en threats, scannen ze niet zoals de WAF dat kan.  

Waarom is een WAF nodig? 

Tegenwoordig zitten we allemaal in de Cloud en hoppen we van de ene naar de andere webapplicatie. Omdat applicatie bouwers werken onder flinke tijdsdruk worden vaak applicaties in de Cloud store gezet die nog niet volledig getest zijn of code bevatten die gekopieerd is van het internet. 

Hackers spelen hier vandaag de dag op in en zetten met opzet malafide code online die daaropvolgend zomaar in een nieuwe applicatie wordt geschreven en mogelijk kan zorgen voor datalekken en flinke bugs. Alles bij elkaar is het kopiëren van code en het niet volledig testen goed voor 85% van alle patch-opdrachten die Axle IT krijgt.  

Met een Web Application Firewall (WAF) kun je webapplicaties in-depth scannen en ook de eventuele code die daaraan hangt. Zo kunnen zowel developer als gebruiker van applicaties rustig blijven ademhalen.  

Hoe werkt een WAF? 

Een Web Application Firewall (WAF) filtert, monitort en blokkeert (indien nodig) http-verkeer van en naar een webapplicaties, web services en e-commerce websites. Tijdens deze grondige inspectie voorkomt het aanvallen die zwakheden in applicaties triggeren zoals: SQL injection, cross-site scripting (XSS), file inclusion en verouderde systeem configuraties. Daarnaast is het bij veel WAF-aanbieders het geval dat deze de eerdergenoemde code van een webapplicatie scannen om te kijken of er malafide codestrings inzitten. Heel handig dus. 

Tevens scant en analyseert de WAF de webservices en (e-commerce) websites op haar in-, en uitgaande data. Dit werkt allemaal op basis van regels die de WAF in twee types onderverdeeld.  Het White listen van regels staat bekend als het “positive-security model” en het blacklisten van regels als het “negative securitymodel”. Bij deze twee modellen komt de regelgeving die erin staat op hetzelfde neer: Voldoet de applicatie en de in-, en uitgaande data niet aan de regels die de WAF moet zien, kom je niet verder en gaan er alarmbellen af. Als je je wel aan de regels houdt is er niets aan de hand en kom je zonder kleerscheuren door de controle heen. 

Is een WAF wel betrouwbaar?
Vaak denken IT-afdelingen dat het hebben van een WAF niet goed is voor de omzet van bijv. een webshop. Het zou de data die binnenkomt onnodig vertragen of blokkeren en zorgen voor minder inkomsten. Gelukkig is dit slechts een broodje aap-verhaal. Een WAF is een zeer goede aanvulling op je security maar ik raad niet aan om je security alleen maar op de WAF te baseren. Wanneer je veel met webapplicaties werkt is de WAF een goede toevoeging op je firewall en eventuele Intrusion Protection Security (IPS) en Intrusion Detection Security (IDS). 

Maar de WAF is pas echt goed inzetbaar als je deze ook juist inricht. Een WAF valt en staat met het correct invoeren van de eerdergenoemde regels die de WAF voor jouw organisatie moet gaan handhaven. Maar als we eerlijk zijn geldt dat toch voor alles dat ons een gevoel van bescherming moet geven? Om dit uit te leggen wil ik even terug naar de metafoor waar ik deze blog mee inleidde: de verkeerssituatie van mij en mijn moeder.  

Stel je voor dat we een paar variabelen (ofwel instellingen van de WAF) veranderen aan deze situatie. Wat als mijn moeder ineens flinke achteruitgang merkt in haar gezichtsvermogen en ze mij dit niet verteld bijvoorbeeld? Dan heb ik eigenlijk helemaal niets aan dat extra paar ogen maar geniet ik wel van dit bijkomende placebo-effect. Maar wanneer mijn moeder geen hand voor ogen kan zien is dat natuurlijk ook maar een soort van schijnveiligheid te noemen, toch? En ben ik dus kwetsbaarder in het verkeer en zijn organisaties ook kwetsbaarder voor eventuele bedreigingen. Zorg dat je niet blind bent voor deze zaken als je een WAF aanschaft. Want zonder de juiste hulpmiddelen of instellingen kan het niet het werk verzetten wat jij wenselijk vindt. 

 

Mocht je na het lezen van deze blog interesse hebben in een gesprek over de WAF of wil je een demo inplannen? Bel ons dan via +31 347799801 of stuur een mailtje naar anne@axle-it.nl