WAF: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
 +
 +
= Web Application Firewall (WAF) – TLS-Terminierung und Layer-7-Inspektion =
 
{{#drawio:waf1}}
 
{{#drawio:waf1}}
 +
== Allgemeines Konzept ==
 +
* Ein Client greift per HTTPS auf einen Webdienst zu
 +
* Der HTTPS-Datenstrom wird nicht direkt zum Webserver geleitet
 +
* Stattdessen befindet sich eine Web Application Firewall (WAF) zwischen Client und Webserver
 +
* Die WAF fungiert als TLS-Verschlüsselungsendpunkt
 +
* Die TLS-Verbindung des Clients endet an der WAF
 +
 +
== TLS-Terminierung ==
 +
* Die WAF nimmt die eingehende HTTPS-Verbindung vom Client entgegen
 +
* Die verschlüsselte Verbindung wird auf der WAF entschlüsselt
 +
* Der HTTP-Datenstrom liegt nun innerhalb der WAF im Klartext vor
 +
* Erst jetzt ist eine Analyse auf Anwendungsebene möglich
 +
 +
== Inhaltsanalyse auf Anwendungsebene ==
 +
* Nach der Entschlüsselung erfolgt eine Prüfung des HTTP-Datenstroms
 +
* Analysiert werden z. B.:
 +
** HTTP-Header
 +
** URI und Parameter
 +
** Cookies
 +
** POST-Daten
 +
** JSON- oder XML-Payloads
 +
* Die Analyse erfolgt auf Layer 7 des OSI-Modells
 +
* Ziel ist die Erkennung von Angriffsmustern auf Webanwendungen
 +
 +
== Weiterleitung an das Backend ==
 +
* Nach erfolgreicher Prüfung wird der Request an den Webserver weitergeleitet
 +
* Die Weiterleitung kann erfolgen über:
 +
** HTTP (internes Netz)
 +
** HTTPS (Re-Verschlüsselung)
 +
* Der Webserver selbst erhält nur bereits geprüfte Anfragen
 +
 +
== Sicherheitsgewinn ==
 +
* Der Webserver ist nicht direkt aus dem Internet erreichbar
 +
* Die Analyse erfolgt vor der Verarbeitung durch die Anwendung
 +
* Angriffe auf Anwendungsebene können vorab erkannt und blockiert werden
 +
* Die WAF übernimmt die Rolle eines sicherheitsrelevanten Layer-7-Gateways
 +
 +
 +
=Umsetzung=
  
 
*[[Modsecurity Erklärung]]
 
*[[Modsecurity Erklärung]]
 
*[[Nginx mit Modsecurity und Blocklost Policy]]
 
*[[Nginx mit Modsecurity und Blocklost Policy]]
 +
*[[ModSecurity (NGINX) – Erkennung von Command Injection in Formularfeldern]]

Aktuelle Version vom 19. Februar 2026, 06:00 Uhr


Web Application Firewall (WAF) – TLS-Terminierung und Layer-7-Inspektion

Allgemeines Konzept

  • Ein Client greift per HTTPS auf einen Webdienst zu
  • Der HTTPS-Datenstrom wird nicht direkt zum Webserver geleitet
  • Stattdessen befindet sich eine Web Application Firewall (WAF) zwischen Client und Webserver
  • Die WAF fungiert als TLS-Verschlüsselungsendpunkt
  • Die TLS-Verbindung des Clients endet an der WAF

TLS-Terminierung

  • Die WAF nimmt die eingehende HTTPS-Verbindung vom Client entgegen
  • Die verschlüsselte Verbindung wird auf der WAF entschlüsselt
  • Der HTTP-Datenstrom liegt nun innerhalb der WAF im Klartext vor
  • Erst jetzt ist eine Analyse auf Anwendungsebene möglich

Inhaltsanalyse auf Anwendungsebene

  • Nach der Entschlüsselung erfolgt eine Prüfung des HTTP-Datenstroms
  • Analysiert werden z. B.:
    • HTTP-Header
    • URI und Parameter
    • Cookies
    • POST-Daten
    • JSON- oder XML-Payloads
  • Die Analyse erfolgt auf Layer 7 des OSI-Modells
  • Ziel ist die Erkennung von Angriffsmustern auf Webanwendungen

Weiterleitung an das Backend

  • Nach erfolgreicher Prüfung wird der Request an den Webserver weitergeleitet
  • Die Weiterleitung kann erfolgen über:
    • HTTP (internes Netz)
    • HTTPS (Re-Verschlüsselung)
  • Der Webserver selbst erhält nur bereits geprüfte Anfragen

Sicherheitsgewinn

  • Der Webserver ist nicht direkt aus dem Internet erreichbar
  • Die Analyse erfolgt vor der Verarbeitung durch die Anwendung
  • Angriffe auf Anwendungsebene können vorab erkannt und blockiert werden
  • Die WAF übernimmt die Rolle eines sicherheitsrelevanten Layer-7-Gateways


Umsetzung

Abgerufen von „http://wiki.ixheim.de/index.php?title=WAF&oldid=67072