Laufender Angriff?
Suche
Menü

Was sind WAF (Web Application Firewall)-Regeln?

Web Application Firewall (WAF)-Regeln werden zur Definition der Art und Weise verwendet, wie der HTTP/HTTPS-Web-Verkehr (Anfragen) zu einer Applikation überprüft werden soll, wo und nach welchen Parametern und Bedingungen im Request gesucht werden soll und welche Maßnahmen die WAF ergreifen soll, wenn ein Request diesen Definitionen entspricht. Eine Sicherheitsrichtlinie besteht aus einem Sicherheitsregelsatz.

Da Applikationen sich mit neuen Diensten und Seiten laufend weiterentwickeln und ständig neuen Gefahren ausgesetzt sehen, müssen Sicherheitsrichtlinien regelmäßig aktualisiert werden. Die Aktualisierung einer Sicherheitsrichtlinie bedeutet die Aktualisierung und Feinabstimmung des Regelsatzes, aus dem diese Sicherheitsrichtlinie besteht, um auf die wichtigsten Sicherheitsbedrohungen und Sicherheitsbedürfnisse der Applikation zu reagieren.

Was sind grundsätzliche (vordefinierte) WAF-Regeln?

Jede WAF ist standardmäßig mit einem Basisregelsatz ausgestattet. In den meisten Fällen basieren diese Regeln auf bestimmten Blocklists für bekannte Signaturen, IP-Listen für negative Reputation usw.

Je besser die WAF ist, desto umfassender und robuster ist der vordefinierte Regelsatz und desto relevanter ist die Antwort auf die aktuellsten Gefahren für die Cybersicherheit. Diese Regeln sind zwar vordefiniert, jedoch müssen WAF-Anbieter sie ständig und kontinuierlich aktualisieren, um den Schutz ihrer Kunden vor den jüngsten Gefahren zu gewährleisten.

Was sind erweiterte WAF-Regeln?

Fortschrittliche WAF ermöglichen es Analysten, Sicherheitsexperten und anderen Benutzern, anspruchsvolle Regeln mit detaillierten Anpassungsoptionen zu definieren, um so die Sicherheit und Leistung ihrer Applikationen zu verbessern und die Netzwerklast auf Applikationsservern zu reduzieren.

Im Folgenden finden Sie einige Beispiele für benutzerdefinierte Regeln:

  • Blockieren des Zugriffs auf bestimmte Bereiche einer Website anhand der IP-Adresse oder der Header

  • Verhindern des Zugriffs von Suchmaschinen-Bots auf eine Website

  • Traffic-Umleitung zu einer Wartungsseite

  • Hinzufügen einer zusätzlichen Kopfzeile zu einer bestimmten Art von Request

  • Verändern des Headers auf einen anderen Wert

Regeln bestehen meist aus Regel-Metadaten, verschiedenen Bedingungen und einer Aktion.

Metadaten

Für jede Regel kann ein Regelname und eine Regelbeschreibung festgelegt werden. Die Metadaten der Regel werden verwendet, um die Regel zu beschreiben und werden auch als Teil des Sicherheitsereignisses dargestellt, das beim Auslösen einer Regel erzeugt wird. Sie können den Regelstatus aktivieren oder deaktivieren.

Bedingungen

Bedingungen werden verwendet, um die Regel auszulösen, wenn eine Bedingung mit dem Inhalt des Requests übereinstimmt. Für jede Regel können mehrere Bedingungen festgelegt werden.

Aktion

Eine Aktion wird ausgelöst, wenn die Requests den im Abschnitt zu den Regelbedingungen beschriebenen Kriterien entsprechen. Die verfügbaren Aktionen hängen von der gewählten Regelart ab.

Regeln werden üblicherweise entsprechend dem Aktionstyp in vier Hauptgruppen eingeteilt:

Priorität

In den meisten dem Industriestandard entsprechenden WAF werden HTTP/S Requests anhand einer vordefinierten Priorität mit Regeln abgeglichen. Zum Beispiel: Regeln umleitenSicherheitsregelnRegeln neu schreiben. Innerhalb jeder Gruppe können Sie die interne Priorität der vorhandenen Regeln dieser Gruppe festlegen.

Radware WAF-Regeln einrichten und verwalten

Die Sicherheitsrichtlinien der Radware WAF umfassen zwei Arten von Regeln – vordefinierte Regeln und benutzerdefinierte Regeln.

Vordefinierte Regeln

Dieser Regelsatz macht Radwares WAF zu einer einzigartigen, betriebsbereiten Lösung. Einige dieser Regeln werden automatisch von Radwares fortschrittlichen Machine-Learning-Algorithmen und Radwares Data Lake generiert, andere werden von Radwares Team von Cyber-Experten im Backend aktualisiert, und wieder andere werden von Radwares ERT Active Attackers Feed generiert (z. B. Radwares globale Intelligenz, Honey Pots und Deception Networking, Geräte-Fingerprinting usw.)

Diese Regeln sind dynamisch und werden ständig angepasst, um vor den aktuellsten Gefahren zu schützen. Im Folgenden sehen Sie einige Arten der vordefinierten WAF-Regeln von Radware:

  • OWASP Top 10

  • Bekannte Schwachstellen und Anfälligkeiten (CVE, ganz oben auf der OWASP-Liste)

  • Regeln zur Milderung von Bot-Verkehr

  • RFC-Verletzungen

  • Blockieren anonymer Proxys

  • Signaturbasierter Schutz

  • SQL-Injection-Schutz

  • DDoS protection

  • Jason-Validation-Schutz

WAF-Regeln: Bild 1

 

Benutzerdefinierte Regeln

Bei den benutzerdefinierten WAF-Regeln von Radware handelt es sich um erweiterte Regeln, die Konfigurationen und Einstellungen für eine erweiterte Kontrolle und Handhabung des Datenverkehrs von Applikationen enthalten. Im Folgenden sehen Sie die sechs Hauptkategorien der benutzerdefinierten Regeln von Radware:

WAF-Regeln: Bild 2

 

WAF-Regeln: Bild 3

 

Was ist ein positives oder ein negatives Sicherheitsmodell?

Die beste Sicherheitsabdeckung mit minimalen Auswirkungen auf den berechtigten Datenverkehr ist gegeben, wenn WAF negative Sicherheitsmodelle (die definieren, was verboten ist und den Rest akzeptieren) und positive Sicherheitsmodelle (die definieren, was erlaubt ist und den Rest ablehnen) kombinieren. Die Kombination der beiden Modelle ermöglicht eine detaillierte und präzise Definition von Richtlinien, um falsch-positive und falsch-negative Meldungen zu vermeiden. Der Schutz durch das negative Sicherheitsmodell basiert auf aktuellen Signaturen gegen bekannte Schwachstellen, die die präziseste Technologie zur Erkennung und Blockierung gegen die Ausnutzung von Applikationsschwachstellen bieten. Das positive Sicherheitsmodell ist nützlich, um Zero-Day-Angriffe zu unterbinden. Die positiven Sicherheitsregeln und -mechanismen ermöglichen die Definition von Wertekategorien und Wertebereichen für alle clientseitigen Eingaben, einschließlich verschlüsselter Eingaben innerhalb strukturierter Formate wie XML und JSON. Die positiven Sicherheitsprofile beschränken die Eingaben des Benutzers auf das Maß, das die Applikation benötigt, um ordnungsgemäß zu funktionieren, und blockieren so Zero-Day-Angriffe.

WAF-Regeln generieren und aktualisieren

Die Verwendung der oben erwähnten Sicherheitsmodelle erfordert die Definition von Richtlinien und Regeln. Dies kann oft recht arbeitsintensiv sein. Der Aufbau einer Sicherheitsrichtlinie erfordert meist einen hohen Arbeitsaufwand seitens des Administrators und lässt das System dennoch potenziell offen für Angriffe infolge von Bedienungsfehlern. Erweiterte WAF-Lösungen senken die Betriebskosten durch Automatisierung und vermeiden Bedienungsfehler, die bei solchen manuellen Prozessen auftreten können.

Worum geht es bei der automatischen Erstellung von Richtlinien?

Um den Aufwand für die Erstellung einer positiven Sicherheitsrichtlinie zu reduzieren und das Risiko von Bedienungsfehlern zu vermeiden, sollte eine WAF die automatische Erstellung von Richtlinien auf Grundlage von Machine Learning-Funktionen für die automatische Regeldefinition und Regelpflege bieten. Die automatische Erstellung von Richtlinien basiert häufig auf der Fähigkeit, berechtigte Transaktionen von Applikationen zu identifizieren und zu charakterisieren und darauf aufbauend „Allow“-Regeln zu erstellen.

Worum geht es bei der kontinuierlichen Optimierung von Richtlinien?

Es ist entscheidend, die Sicherheitsrichtlinien ständig zu optimieren, um ein hohes Sicherheitsniveau aufrechtzuerhalten und Fehlalarme zu minimieren, damit der berechtigte Datenverkehr durch die Sicherheitsmaßnahmen nicht beeinträchtigt wird. Beides soll aber ohne hohe Betriebskosten und manuelle Eingriffe erreicht werden. Dies erfordert eine Lösung zum Schutz von Applikationen, die Protokolldateien regelmäßig automatisch überprüft und über künstliche Intelligenz verfügt.

Radwares Engine zur Optimierung von automatisch erstellten Richtlinien

 

  • Umleitungsregeln – zur Traffic-Umleitung an einen anderen Standort, wenn bestimmte Bedingungen erfüllt sind

  • Sicherheitsregeln – zur Blockierung oder Zulassung von Datenverkehr, wenn bestimmte Bedingungen erfüllt sind

  • Regeln für die Ratenbegrenzung – zur Kontrolle des Datenverkehrvolumens gemäß der festgelegten Grenzwerte

  • Regeln zum Entfernen/Umschreiben/Einfügen – üblicherweise zur Änderung der HTTP Request- und Response-Komponenten, wenn die Bedingungen erfüllt sind

    • Umleitungsregeln – zum Ändern von Kopfzeilen zur Traffic-Umleitung an einen anderen Standort, wenn bestimmte Bedingungen erfüllt sind

    • Regeln für die Sicherheit und Zugangskontrolle – zur Blockierung oder Zulassung von Datenverkehr, wenn bestimmte Bedingungen erfüllt sind In dieser Gruppe befinden sich die Regeln zu den Themen Geoblocking und Sicherheitsumgehung

    • Regeln zur Ratenbegrenzung – zur Kontrolle des Datenverkehrvolumens gemäß der festgelegten Grenzwerte

    • Regeln für Gegenmaßnahmen – zum Ändern (Entfernen, Umschreiben, Einfügen) der Header von Server-Antworten, wenn die Regelbedingungen erfüllt sind

    • Regeln zum API-Schutz – zum Festlegen oder Blockieren von Request Quoten bestimmter API-Endpunkte sowie zur Definition bestimmter API-Bedingungen wie Typ, Header, Body, Pfad, Parameter usw.

    • Regeln für das Bot-Management – zum Konfigurieren der zu ergreifenden Maßnahmen, wenn ein bösartiger Bot entdeckt wurde, entsprechend der Art des erkannten Bots

Weitere Ressourcen

eGuide

7 Funktionen, die jede Web Application Firewall bieten sollte

Unternehmen benötigen eine WAF, die vollständige Abdeckung bietet und sich gleichzeitig an Ihre sich verändernde Applikationsumgebung anpassen kann. Hier sind die 7 Merkmale, auf die Sie bei der Bewertung einer WAF achten sollten.

Mehr erfahren
eGuide

Verstehen Sie die OWASP Top 10 und wie WAFs sie entschärfen können

Dieser Beitrag bietet einen Überblick über die 2021 OWASP Top 10-Liste und die technischen Fähigkeiten, die Sicherheitsexperten bei der Evaluierung von WAFs berücksichtigen sollten.

Mehr erfahren
eGuide

Die 7 verbreitetsten Angriffe auf Web-Applikationen und wie eine WAF sie verhindern kann

Dieser Leitfaden beschreibt die 7 häufigsten Cyberattacken, die derzeit auf Web-Applikationen abzielen

Mehr erfahren

Radware-Vertrieb kontaktieren

Unsere Experten beantworten all Ihre Fragen, bewerten Ihre Anforderungen und helfen Ihnen dabei, ein Verständnis aufzubauen, welche Produkte am besten für Ihr Unternehmen geeignet sind.

Jetzt Kontakt aufnehmen

Sind Sie bereits ein Kunde?

Sie benötigen Unterstützung, zusätzliche Services oder suchen Antworten auf Ihre Fragen zu unseren Produkten und Lösungen? Wir stehen Ihnen zur Verfügung.

Standorte
Antworten in unserer Wissensdatenbank finden
Kostenlose Online-Produktschulung erhalten
Radwares technischen Support kontaktieren
Mitglied im Radware-Kundenprogramm werden

Soziale Medien

Setzen Sie sich mit Experten in Verbindung und nehmen Sie an Gesprächen zu Radware-Technologien teil.

Blog
Sicherheits­forschungszentrum
CyberPedia

Schließen

Wonach suchen Sie?