Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Firewall-Profile

01.12.15 00:00

Auf der Registerkarte Web Application Firewall > Firewall-Profile können Sie WAFClosed-Profile anlegen, die die Sicherheitsmodi und -ebenen für Ihre Webserver festlegen.

Um ein WAF-Profil anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche Neues Firewall-Profil.

    Das Dialogfeld Firewall-Profil hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für das Profil ein.

    Outlook Anywhere durchlassen: Erlaubt externen Microsoft-Outlook-Clients den Zugriff auf den Microsoft Exchange Server über die WAF. Microsoft-Outlook-Verkehr wird nicht durch die WAF überprüft oder geschützt.

    Modus: Wählen Sie einen Modus aus der Auswahlliste:

    • Überwachen: HTTP-Anfragen werden überwacht und protokolliert.
    • Ablehnen: HTTP-Anfragen werden abgelehnt.

    Der gewählte Modus wird angewendet, sobald eine der unten gewählten Bedingungen auf eine HTTP-Anfrage zutrifft.

  3. Nehmen Sie die folgenden Einstellungen für Hardening & Signing vor:

    Static URL-Hardening: Schützt vor URL-Umschreibung. Dafür werden alle statischen URLs einer Website signiert, sobald ein Client diese Website anfordert. Die Vorgehensweise bei der Signierung ähnelt derjenigen bei der Cookie-Signierung. Darüber hinaus wird die Antwort des Webservers im Hinblick darauf analysiert, welche Links als nächstes gültig angefordert werden können. URLs mit Static Hardening können des Weiteren als Lesezeichen abgespeichert und später besucht werden. Wählen Sie eine der folgenden Methoden, um Einstiegs-URLs zu definieren:

    • Manuell definierte Einstiegs-URLs: Geben Sie URLs an, die als Einstiegs-URLs für eine Website dienen und dadurch nicht signiert werden müssen. Die Syntax muss einem der folgenden Beispiele entsprechen: http://shop.beispiel.de/produkte/, https://shop.beispiel.de/produkte/ oder /produkte/.
    • Einstiegs-URLs von hochgeladener Google-Sitemap-Datei: Sie können hier eine Sitemap-Datei hochladen, die Informationen zur Struktur Ihrer Website enthält. Sitemap-Dateien können im XML- oder Nur-Text-Format hochgeladen werden. Letzteres enthält lediglich eine URL-Liste. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von der WAF geparst.

    • Einstiegs-URLs von Google-Sitemap-URL: Sie können UTM eine Sitemap-Datei von einer vorgegebenen URL herunterladen lassen, die Informationen zur Struktur Ihrer Website enthält. Diese Datei kann regelmäßig auf Aktualisierungen überprüft werden. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von der WAF heruntergeladen und geparst.

      URL: Geben Sie den Pfad zur Sitemap als absolute URL ein.

      Aktualisierung: Wählen Sie ein Aktualisierungsintervall aus dieser Auswahlliste. Wenn Sie Manuell wählen, wird die Sitemap nur aktualisiert, wenn Sie das Profil erneut speichern.

      Hinweis – Wenn Sie die Umkehrauthentifizierung mit dem Frontend-Modus Formular für den konfigurierten Pfad verwenden, ist es nicht nötig, eine Einstiegs-URL für die Anmeldung und den Pfad anzugeben. Wie man den Pfad konfiguriert ist auf der Seite Webserver Protection > Web Application Firewall > Site Path Routing beschrieben.

    Hinweis – Static URL-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere Dateitypen, z.B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch das URL-Hardening beschädigt werden können. Es funktioniert nicht bei dynamischen URLs die vom Client erstellt wurden, zum Beispiel: JavaScript.

    Form Hardening: Schützt vor Umschreibung von Webformularen. Das Form-Hardening speichert die ursprüngliche Struktur eines Webformulars und fügt eine Signatur hinzu. Daher lehnt WAF die Anfrage ab, wenn sich die Struktur eines Formulars, das an den Server übermittelt wird, geändert hat.

    Hinweis – Form-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere Dateitypen, z.B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch das URL-Hardening beschädigt werden können.

    Cookie-Signierung: Schützt einen Webserver vor manipulierten Cookies. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie zum ersten Cookie hinzugefügt, welcher einen Hash enthält, der aus dem Namen und dem Wert des ersten Cookies und einem Schlüssel besteht, wobei dieser Schlüssel nur der WAF bekannt ist. Wenn eine Anfrage nicht das richtige Cookie-Paar vorweisen kann, fand irgendeine Manipulation statt und das Cookie wird verworfen.

  4. Nehmen Sie die folgenden Filtereinstellungen vor:

    Antivirus: Wählen Sie diese Option, um einen Webserver vor Viren zu schützen.

    Modus: Sophos UTM bietet mehrere Antiviren-Mechanismen für die höchst mögliche Sicherheit.

    • Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte Systemeinstellungen > Scan-Einstellungen festgelegte Engine wird verwendet.
    • Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit einem BasicGuard-Abonnement nicht verfügbar ist.

    Richtung: Wählen Sie aus der Auswahlliste, ob nur Up- oder Downloads gescannt werden sollen oder beides.

    Unscannbaren Inhalt blockieren: Wählen Sie diese Option, um Dateien zu blockieren, die nicht gescannt werden können. Der Grund hierfür kann unter anderem sein, dass Dateien verschlüsselt oder beschädigt sind.

    Scangröße beschränken: Wenn Sie diese Option auswählen, haben Sie die Möglichkeit eine Größenbeschränkung für den Scan in ein zusätzliches Feld einzugeben. Geben Sie die Beschränkung in Megabyte ein.

    Hinweis – Bitte beachten Sie, dass sich die Größenbegrenzung auf den Upload bezieht, nicht auf einzelne Dateien. Das bedeutet, wenn Sie zum Beispiel eine Beschränkung auf 50 MB setzen und mehrere Dateien hochladen (45 MB, 5 MB und 10 MB), wird die letzte Datei aufgrund der Beschränkung nicht gescannt und es könnte sein, dass ein Virus nicht gefunden wird.

    Hinweis – Wenn Sie keinen Wert für die Beschränkung der Scangröße angeben, wird die Beschränkung mit '0' gespeichert, was bedeutet, dass keine Beschränkung aktiv ist.

    Clients mit schlechtem Ruf blockieren: Anhand von GeoIPClosed- und RBLClosed-Informationen können Sie Clients blockieren, die laut ihrer Klassifizierung einen schlechten Ruf haben. Sophos verwendet folgende Klassifizierungsanbieter:

    RBL-Quellen:

    • Commtouch IP Reputation (ctipd.org)
    • http.dnsbl.sorbs.net

    Die GeoIP-Quelle ist Maxmind. Die WAF blockiert Clients, die in eine der folgenden Maxmind-Kategorien fallen:

    • A1: Anonyme Proxies oder VPN-Dienste, die Clients nutzen, um ihre IP-Adressen oder ihren ursprünglichen geografischen Standort zu verschleiern.
    • A2: Satellitenanbieter sind ISPs, die Benutzern auf der ganzen Welt Internetzugang über Satellit zur Verfügung stellen, oftmals von Hochrisiko-Ländern aus.

    Keine Fern-Abfragen für Clients mit schlechtem Ruf: Da Ruf-Anfragen an entfernte Klassifizierungsanbieter gesendet werden müssen, kann die Verwendung von rufbasiertem Blockieren zu Leistungseinbußen Ihres Systems führen. Wählen Sie diese Option, um nur GeoIP-basierte Klassifizierung zu verwenden, bei der zwischengespeicherte Informationen zum Einsatz kommen, was die Geschwindigkeit deutlich erhöht.

    Filter für allgemeine Bedrohungen: Bei Aktivierung können Sie Ihre Webserver vor verschiedenen Bedrohungen schützen. Sie können die zu verwendenden Bedrohungsfilterkategorien unten im Abschnitt Bedrohungsfilterkategorien festlegen. Alle Anfragen werden gemäß den Regelwerken der ausgewählten Kategorien überprüft. Abhängig vom Ergebnis der Überprüfung wird ein Hinweis oder eine Warnung im Live-Protokoll angezeigt oder die Anfrage wird direkt blockiert.

    Strenge Filterung: Bei Aktivierung werden verschiedene der ausgewählten Regeln verschärft. Dies kann zu Falschmeldungen führen.

    Filterregeln übergehen: Manche der ausgewählten Bedrohungskategorien können Regeln enthalten, die zu Falschmeldungen führen. Um das Anzeigen von Falschmeldungen, die von einer bestimmten Regel generiert werden, zu vermeiden, fügen Sie die Nummer der zu überspringenden Regel in dieses Feld ein. Die WAF-Regel-Nummern können Sie beispielsweise auf der Seite Protokolle & Berichte > Webserver Protection > Details mithilfe des Filters Häufigste Regeln abrufen.

  5. Wählen Sie optional die folgenden Bedrohungsfilterkategorien aus (nur verfügbar, wenn Filter für allgemeine Bedrohungen aktiviert ist):

    Protokollverletzungen: Erzwingt Erfüllung der RFC-Standard-Spezifikation des HTTP-Protokolls. Eine Verletzung dieser Standards ist üblicherweise ein Hinweis auf schädliche Inhalte.

    Protokollanomalien: Sucht nach häufigen Nutzungsmustern. Das Fehlen solcher Muster weist häufig auf schädliche Anfragen hin. Zu solchen Mustern gehören z.B. HTTP-Header wie „Host“ oder „User-Agent“.

    Grenzwerte anfragen: Erzwingt angemessene Grenzwerte für die Anzahl und den Bereich von Anfrageargumenten. Ein Überladen von Anfrageargumenten ist ein typischer Angriffsvektor.

    HTTP-Richtlinie: Schränkt die zulässige Nutzung des HTTP-Protokolls ein. Webbrowser nutzen normalerweise nur eine begrenzte Untermenge aller möglichen HTTP-Optionen. Eine Untersagung der selten verwendeten Optionen schützt vor Angreifern, die auf solche oft weniger gut unterstützten Möglichkeiten abzielen.

    Schädliche Roboter: Prüft auf Nutzungsmuster, wie sie für Bots und Crawler charakteristisch sind. Durch die Zugriffsverweigerung ist es unwahrscheinlicher, dass potenzielle Schwachstellen Ihrer Webserver entdeckt werden.

    Generische Angriffe: Sucht nach versuchten Befehlsausführungen, welche die meisten Angriffe kennzeichnen. Nach einer Sicherheitsverletzung eines Webservers versucht ein Angreifer üblicherweise, auf dem Server Befehle auszuführen, wie z.B. Berechtigungen zu erweitern oder Datenspeicher zu manipulieren. Durch die Suche nach diesen Ausführungsversuchen, die nach einer Sicherheitsverletzung auftreten, können Angriffe erkannt werden, die anderenfalls möglicherweise unentdeckt geblieben wären, weil sie z.B. mit berechtigtem Zugriff einen verwundbaren Dienst anvisieren.

    SQL-Injection-Angriffe: Sucht nach eingebetteten SQL-Befehlen und Escape-Zeichen in Anfrageargumenten. Die meisten Angriffe auf Webserver zielen auf Eingabefelder ab, die dazu verwendet werden können, eingebettete SQL-Befehle an die Datenbank zu richten.

    (XSSClosed) Angriffe: Sucht nach eingebetteten Skripttags und Code in Anfrageargumenten. Mit Cross-Site-Scripting-Angriffen wird üblicherweise versucht, Skriptcode in Eingabefeldern auf einem Ziel-Webserver zu platzieren, häufig auf legitime Weise.

    Hohe Sicherheit: Führt strikte Sicherheitsprüfungen für Anfragen durch, z.B. Prüfungen auf verbotene Pfad-Traversal-Versuche.

    Trojaner: Prüft auf Nutzungsmuster, wie sie für Trojaner typisch sind, und sucht damit nach Anfragen, die eine Trojaneraktivität nahelegen. Die Funktion verhindert jedoch nicht die Installation solcher Trojaner; dafür sind die Antiviren-Scanner zuständig.

    Ausgehend: Verhindert, dass Webserver Informationen an den Client durchlassen. Dazu gehören z.B. Fehlermeldungen, die von Servern gesendet werden und die Angreifer nutzen können, um vertrauliche Informationen zu erhalten oder bestimmte Schwachstellen zu erkennen.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  6. Klicken Sie auf Speichern.

    Das WAF-Profil wird der Liste Firewall-Profile hinzugefügt.

Weitere Informationen zu statischen URL-Hardening und Form-Hardening

Am besten wäre es, jederzeit sowohl URL-Hardening als auch Form-Hardening zu nutzen, da sich beide Funktionen gegenseitig ergänzen. Insbesondere verhindern Sie dadurch Probleme, die auftreten können, wenn Sie nur eine Option nutzen.

  • Nur Form-Hardening ist aktiviert: Wenn eine Webseite Hyperlinks enthält, denen Anfragen angehängt sind (was bei bestimmten CMSClosed der Fall ist), z.B. http://beispiel.de/?view=article&id=1, werden solche Seitenabfragen durch Form-Hardening blockiert, da die Signatur fehlt.
  • Nur URL-Hardening ist aktiviert: Wenn ein Webbrowser Formulardaten an die Aktions-URL des form-Tags eines Webformulars anhängt (was bei GET-Anfragen der Fall ist), werden die Formulardaten in die Anfrage-URL integriert, die an den Webserver gesendet wird. Dadurch wird die URL-Signatur ungültig.

Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server die Anfrage akzeptiert, wenn entweder Form-Hardening oder URL-Hardening die Anfrage für gültig befindet.

Outlook Web Access

Die Konfiguration der WAF für Outlook Web Access (OWA) ist etwas heikel, da OWA Anfragen von einer öffentlichen IP anders behandelt als interne Anfragen von einer internen LAN-IP an die OWA-Website. Es gibt Umleitungen (engl. redirects), die an die OWA-URLs angehängt werden, wobei bei externem Zugriff die externe FQDN verwendet wird, bei internen Anfragen hingegen die interne Server-IP-Adresse.

Zur Lösung muss das OWA-Verzeichnis als Einstiegs-URL im WAF-Profil Ihres OWA-Webservers eingetragen werden (z.B. http://webserver/owa/). Zusätzlich müssen Sie eine Ausnahme anlegen, die URL-Hardening für den Pfad /owa/*, /OWA/* ausnimmt, und Sie müssen die Cookie-Signierung für den virtuellen Server komplett ausschalten.

Sie müssen die folgenden Einstellungen festlegen damit die Benachrichtigungen angezeigt werden.

Erstellen Sie eine zweite Ausnahme, welche die Antivirusprüfung überspringt, überspringen Sie alle Kategorien für den Pfad /owa/ev.owa* und aktivieren die erweiterte Funktion Ändere niemals HTML während Static URL Hardening oder Form Hardening.

Related Topics Link IconVerwandte Themen
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren