Web Application Firewall fehlerfrei einsetzen

Alarmkette

Bei der Implementierung einer neuen Web Application Firewall gilt es, die Applikationsserver richtig zu konfigurieren, damit diese hinter dem Schutz der WAF weiterhin korrekt arbeiten. Außer serverseitig kann es auch bei den Einstellungen der Web Application Firewall selbst zu Fehlkonfigurationen kommen. Wir zeigen, wie Sie beides vermeiden.
Auch kleine Firmen haben klare Anforderungen an ihre IT. Im Mai beleuchtet IT-Administrator den Schwerpunkt "Small Business IT". Darin zeigen wir, welche ... (mehr)

Ein nicht zu unterschätzendes Problem bei einer falsch konfigurierten Web Application Firewall (WAF) oder unkorrekt eingestellten Applikationsservern sind nicht zuletzt häufige Fehlalarme. IT-Verantwortliche forschen dann verzweifelt nach bösartigen Aktivitäten und Hackerangriffen, die gar nicht passiert sind, und verschwenden dadurch wichtige Zeit. Doch es gibt auch Settings, die Hackern den Angriff erleichtern. Bei den Fehlkonfigurationen herrschen zwei Typen vor:

- Einstellungen auf der Clientseite (also des geschützten Webservers).

- Konfiguration der WAF selbst.

Ursprungs-IP unkenntlich machen

Der "normale" Datenverkehr zum Server durchläuft zuallererst die Prüfung durch die WAF, um Informationen auf dem Applikationsserver zu schützen. Dabei handelt es sich um eine wichtige Funktion, denn die WAF identifiziert bösartige HTTP-Anfragen und wendet diese im Idealfall ab. Administratoren müssen den Datenverkehr dazu über die WAF – die eventuell in der Cloud liegt – umleiten (Routing). Dazu sind die DNS-Einstellungen für den Server so zu bearbeiten, dass ein CNAME (Alias) auf den WAF-Dienst verweist. Die ursprüngliche IP-Adresse des Servers wird dann mit dem Alias verknüpft. Künftig erscheint nur noch der Alias im DNS-Eintrag, die ursprüngliche IP-Adresse selbst (die A- und AAAA-Einträge) ist nicht mehr zu erkennen.

Doch können Spuren der ursprünglichen IP-Adresse der Webseite in den DNS-Einstellungen oder SSL-Zertifikaten zurückbleiben. Angreifer nutzen diese dann, um direkt auf die Webseite zuzugreifen und die WAF zu umgehen. Unter derselben IP-Adresse läuft zudem häufig mehr als ein Dienst. Es kann sich dabei zum Beispiel um einen FTP- oder Mailing-Dienst handeln. Der DNS-Eintrag weist dann nicht nur A- oder AAAA-Einträge auf, sondern enthält auch zusätzliche Informationen, wie beispielsweise den Mail Exchange Resource Record (MX). In

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020