Verinice - Beispielprojekt: Webserver mit WAF und Firewall

Organisation

Kleine Online-Plattform mit einem Webdienst für Kunden. Ziel ist es, Verfügbarkeit und Sicherheit der Website sicherzustellen.

Systeme und Anwendungen

• Apache-Webserver mit Testanwendungen (SQLi/XSS-Demos)
• NGINX als WAF mit ModSecurity + OWASP CRS (TLS-Endpunkt, URI-Blocking)
• OPNsense-Firewall (Portfreigaben, Admin-Zugriff intern)

Typische Gefährdungen

• SQL-Injection und Cross-Site-Scripting
• Umgehung der WAF-Regeln
• TLS-Fehlkonfiguration (schwache Cipher, fehlendes HSTS)
• Fehlerhafte Firewall-Regeln

Wichtige Maßnahmen

• Patchmanagement für Apache
• Aktivierung und Pflege von OWASP CRS in der WAF
• TLS-Härtung (starke Cipher, HSTS)
• Rate-Limiting und Konfigurations-Review auf OPNsense
• Regelmäßige Penetrationstests

Ziel der Übung

• Organisation und Systeme in verinice modellieren
• Gefährdungen zuordnen, Maßnahmen dokumentieren
• Einfachen Bericht (Risiken / Maßnahmenstatus) erzeugen

Mehrwert für Teilnehmer

• Praxisbezug zu typischen Websicherheits-Szenarien
• Verknüpfung von Prozessen, Systemen, Gefährdungen und Maßnahmen
• Einstieg in ISMS-Tools anhand eines greifbaren Beispiels