Verinice - Beispielprojekt: Webserver mit WAF und Firewall

Organisation

Kleine Online-Plattform, die einen Webdienst für Kunden bereitstellt. Ziel ist es, die Verfügbarkeit und Sicherheit der Website zu gewährleisten.

Prozesse

• Bereitstellung der Kunden-Website
• Verarbeitung von Formulareingaben
• Sicherer Zugriff auf geschützte Bereiche

IT-Systeme

• Webserver: Apache2 mit anfälligen Testseiten (z. B. SQLi-Demo, XSS-Demo)
• WAF: NGINX mit ModSecurity und aktiviertem OWASP CRS
  • TLS-Endpunkt: SSL/TLS-Terminierung an der WAF
  • Blockieren bestimmter gefährlicher URIs
• Firewall: OPNsense mit Regeln für Zugriffskontrolle (nur Port 443/TCP freigegeben, Admin-Zugriff nur intern)

Anwendungen

• Apache2-Testanwendung mit Schwachstellen (SQLi, XSS)
• NGINX als Reverse Proxy + WAF
• OPNsense als Netzwerk-Firewall

Gefährdungen

• SQL-Injection auf dem Apache-Webserver
• Cross-Site-Scripting (XSS)
• Umgehung der WAF-Regeln durch Angreifer
• TLS-Misskonfiguration (schwache Cipher, kein HSTS)
• Denial-of-Service (Flood-Angriffe auf Port 443)
• Fehlkonfiguration der Firewall (z. B. offener Admin-Port)

Maßnahmen

• Patchmanagement für Apache2
• Aktivierung von OWASP CRS in ModSecurity
• Blockieren definierter URIs in der WAF
• TLS-Härtung (nur sichere Cipher, HSTS, Zertifikatsüberwachung)
• Rate-Limiting auf OPNsense-Firewall
• Regelmäßige Konfigurationsüberprüfung der Firewall
• Monitoring von WAF- und Firewall-Logs
• Durchführung von Penetrationstests (regelmäßig)

Ziel der Übung

• Organisation in verinice anlegen
• IT-Systeme modellieren (Webserver, WAF, Firewall)
• Gefährdungen zuordnen
• Maßnahmen dokumentieren und bewerten
• Report generieren (z. B. Risikobericht oder Maßnahmenstatus)

Mehrwert für Teilnehmer

• Praktischer Bezug zu realen Szenarien (Apache, NGINX mit ModSecurity, OPNsense)
• Verständnis für die Zusammenhänge zwischen Prozessen, IT-Systemen, Gefährdungen und Maßnahmen
• Vorbereitung auf reale Aufgaben im Bereich Informationssicherheit