Firewall-Profile

Auf der Registerkarte Firewall-Profile können Sie WAFClosed-Profile anlegen, die die Sicherheitsmodi und -ebenen für Ihre Webserver festlegen.

Um ein WAF-Profil anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche Neues Firewall-Profil.

    Das Dialogfeld Firewall-Profil hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für das Profil ein.

    Modus: Wählen Sie einen Modus aus der Auswahlliste:

    • Überwachen: HTTP-Anfragen werden überwacht und protokolliert.
    • Ablehnen: HTTP-Anfragen werden abgelehnt.

    Der gewählte Modus wird angewendet, sobald eine der unten gewählten Bedingungen auf eine HTTP-Anfrage zutrifft.

  3. Nehmen Sie die folgenden Einstellungen für Hardening & Signing vor:

    Static-URL-Hardening: Schützt vor URL-Umschreibung. Um dies zu erreichen, werden alle statischen URLs der Webseite signiert, wenn ein Client eine Webseite anfragt. Die Vorgehensweise bei der Signierung ähnelt derjenigen bei der Cookie-Signierung. Darüber hinaus wird die Antwort des Webservers im Hinblick darauf analysiert, welche Links als nächstes gültig angefordert werden können. URLs mit Static Hardening können des Weiteren als Lesezeichen abgespeichert und später besucht werden. Wählen Sie eine der folgenden Methoden, um Einstiegs-URLs zu definieren:

    • Manuell definierte Einstiegs-URLs: Geben Sie URLs an, die als Einstiegs-URLs für eine Website dienen und dadurch nicht signiert werden müssen. Die Syntax muss einem der folgenden Beispiele entsprechen: http://shop.beispiel.de/produkte/, https://shop.beispiel.de/produkte/ oder /produkte/.
    • Einstiegs-URLs von hochgeladener Google-Sitemap-Datei: Sie können hier eine Sitemap-Datei hochladen, die Informationen zur Struktur Ihrer Website enthält. Sitemap-Dateien können im XML- oder Nur-Text-Format hochgeladen werden. Letzteres enthält lediglich eine URL-Liste. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von der WAF geparst.
    • Einstiegs-URLs von Google-Sitemap-URL: Sie können UTM eine Sitemap-Datei von einer vorgegebenen URL herunterladen lassen, die Informationen zur Struktur Ihrer Website enthält. Diese Datei kann regelmäßig auf Aktualisierungen überprüft werden. Sobald das Profil gespeichert ist, wird die Sitemap-Datei von der WAF heruntergeladen und geparst.

      URL: Geben Sie den Pfad zur Sitemap als absolute URL ein.

      Aktualisierung: Wählen Sie ein Aktualisierungsintervall aus dieser Auswahlliste. Wenn Sie Manuell wählen, wird die Sitemap nur aktualisiert, wenn Sie das Profil erneut speichern.

      Hinweis – Wenn Sie die Umkehrauthentifizierung mit dem Frontend-Modus Formular für den konfigurierten Pfad verwenden, ist es nicht nötig, eine Einstiegs-URL für die Anmeldung und den Pfad anzugeben. Wie man den Pfad konfiguriert ist auf der Seite Webserver Protection > Web Application Firewall > Site Path Routing beschrieben.

    Hinweis – Static URL-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere Dateitypen, z.B. Binärdateien, den richtigen HTTP-Inhaltstyp aufweisen, da sie sonst durch das URL-Hardening beschädigt werden können. Es funktioniert nicht bei dynamischen URLs die vom Client erstellt wurden, zum Beispiel: JavaScript.

    Form Hardening: Schützt vor Umschreibung von Webformularen. Form-Hardening erhält die ursprüngliche Struktur des Webformulars aufrecht und signiert es. Daher lehnt WAF die Anfrage ab, wenn sich die Struktur eines Formulars, das an den Server übermittelt wird, geändert hat.

    Hinweis – Form-Hardening wird auf alle Dateien mit HTTP-Inhalt des Typs text/* oder *xml* angewandt (* dient als Platzhalter). Stellen Sie sicher, dass andere Dateitypen, z. B. binäre Dateien, über den korrekten HTTP-Inhaltstyp verfügen, ansonsten werden sie durch die Form-Hardening-Funktion beschädigt.

    Cookie-Signierung: Schützt einen Webserver vor manipulierten Cookies. Wenn der Webserver einen Cookie setzt, wird ein zweiter Cookie zum ersten Cookie hinzugefügt, welcher einen Hash enthält, der aus dem Namen und dem Wert des ersten Cookies und einem Schlüssel besteht, wobei dieser Schlüssel nur der WAF bekannt ist. Wenn eine Anfrage nicht das richtige Cookie-Paar vorweisen kann, fand irgendeine Manipulation statt und das Cookie wird verworfen.

  4. Nehmen Sie die folgenden Filtereinstellungen vor:

    Clients mit schlechtem Ruf blockieren: Anhand von GeoIPClosed- und RBLClosed-Informationen können Sie Clients blockieren, die laut ihrer Klassifizierung einen schlechten Ruf haben. Sophos verwendet folgende Klassifizierungsanbieter:

    RBL-Quellen:

    • Commtouch IP Reputation (ctipd.org)
    • http.dnsbl.sorbs.net

    Die GeoIP-Quelle ist Maxmind. WAF blockiert Clients, die einer der folgenden Maxmind-Kategorien zugeordnet sind:

    • A1: Anonyme Proxies oder VPN-Dienste, die Clients nutzen, um ihre IP-Adressen oder ihren ursprünglichen geografischen Standort zu verschleiern.
    • A2: Satellitenbetreiber sind Internetprovider, die Satelliten nutzen, um Nutzern auf der ganzen Welt, häufig in Hochrisikoländern, einen Internetzugang bereitzustellen.

    Keine Fern-Abfragen für Clients mit schlechtem Ruf: Da Ruf-Anfragen an entfernte Klassifizierungsanbieter gesendet werden müssen, kann die Verwendung von rufbasiertem Blockieren zu Leistungseinbußen Ihres Systems führen. Wählen Sie diese Option, um nur GeoIP-basierte Klassifizierung zu verwenden, bei der zwischengespeicherte Informationen zum Einsatz kommen, was die Geschwindigkeit deutlich erhöht.

    Filter für allgemeine Bedrohungen: Bei Aktivierung können Sie Ihre Webserver vor verschiedenen Bedrohungen schützen. Sie können die zu verwendenden Bedrohungsfilterkategorien unten im Abschnitt Bedrohungsfilterkategorien festlegen. Alle Anfragen werden mit den Regeln der gewählten Kategorien abgeglichen. Abhängig von den Ergebnissen wird im Live-Protokoll entweder ein Hinweis oder eine Warnung angezeigt oder die Anfrage wird direkt blockiert.

    Strenge Filterung: Bei Aktivierung werden verschiedene der ausgewählten Regeln verschärft. Dies kann False Positives hervorrufen.

    Filterregeln übergehen: Manche der ausgewählten Bedrohungskategorien können Regeln enthalten, die zu Falschmeldungen führen. Um das Anzeigen von Falschmeldungen, die von einer bestimmten Regel generiert werden, zu vermeiden, fügen Sie die Nummer der zu überspringenden Regel in dieses Feld ein. Die WAF-Regel-Nummern können Sie beispielsweise auf der Seite Protokolle & Berichte > Webserver Protection > Details mithilfe des Filters Häufigste Regeln abrufen. Es gibt Basisregeln für WAF, so genannte Infrastrukturregeln (infrastructure rules). Infrastrukturregeln beeinflussen Regeln, die auf diesen Regeln aufbauen.

    Warnung – Deaktivieren Sie nicht erforderliche Infrastrukturregeln, denn dies könnte andere Regeln beeinträchtigen und zu Sicherheitsprobleme führen. Genauere Informationen zu Infrastrukturregeln finden Sie in der Sophos Knowledgebase.

  5. Wählen Sie optional die folgenden Bedrohungsfilterkategorien aus (nur verfügbar, wenn Filter für allgemeine Bedrohungen aktiviert ist):

    Protokollverletzungen: Erzwingt Erfüllung der RFC-Standard-Spezifikation des HTTP-Protokolls. Wenn diese Standards nicht eingehalten werden, weist dies in der Regel auf eine bösartige Absicht hin.

    Protokollanomalien: Sucht nach häufigen Nutzungsmustern. Wenn solche Muster fehlen, weist dies häufig auf bösartige Anfragen hin. Zu diesen Mustern gehören unter anderem HTTP-Kopfzeilen wie „Host“ und „User-Agent“.

    Grenzwerte anfragen: Erzwingt angemessene Grenzwerte für die Anzahl und den Bereich von Anfrageargumenten. Wenn übermäßig viele Anfragenargumente genutzt werden, ist dies ein typischer Angriffsvektor.

    HTTP-Richtlinie: Schränkt die zulässige Nutzung des HTTP-Protokolls ein. Webbrowser nutzen in der Regel nur einen begrenzten Teil aller möglichen HTTP-Optionen. Wenn selten genutzte Optionen nicht erlaubt sind, schützt dies vor Angreifern, die auf diese wenig unterstützten Optionen abzielen.

    Schädliche Roboter: Prüft auf Nutzungsmuster, wie sie für Bots und Crawler charakteristisch sind. Durch die Zugriffsverweigerung ist es unwahrscheinlicher, dass potenzielle Schwachstellen Ihrer Webserver entdeckt werden.

    Generische Angriffe: Sucht nach versuchten Befehlsausführungen, welche die meisten Angriffe kennzeichnen. Wenn ein Angreifer einen Webserver erreicht hat, versucht er in der Regel auf dem Server Befehle auszuführen, zum Beispiel zur Erweiterung von Berechtigungen oder Manipulation von Datenspeichern. Indem nach diesen Ausführungsversuchen gesucht wird, können Angriffe erkannt werden, die ansonsten eventuell nicht bemerkt werden, zum Beispiel weil sie mittels legitimen Zugriff auf einen gefährdeten Dienst abzielen.

    SQL-Injection-Angriffe: Prüft die Anfragenargumente auf eingebettete SQL-Befehle und Fluchtzeichen. Die meisten Angriffe auf Webserver zielen auf Eingabefelder ab, die dazu verwendet werden können, eingebettete SQL-Befehle an die Datenbank zu richten.

    (XSSClosed) Angriffe: Prüft die Anfragenargumente auf eingebettete Script-Tags und Code. Mit Cross-Site-Scripting-Angriffen wird üblicherweise versucht, Skriptcode in Eingabefeldern auf einem Ziel-Webserver zu platzieren, häufig auf legitime Weise.

    Hohe Sicherheit: Führt strikte Sicherheitsprüfungen für Anfragen durch, z.B. Prüfungen auf verbotene Pfad-Traversal-Versuche.

    Trojaner: Prüft auf Nutzungsmuster, wie sie für Trojaner typisch sind, und sucht damit nach Anfragen, die eine Trojaneraktivität nahelegen. Verhindert jedoch nicht die Installation solcher Trojaner, da dies die Aufgabe der Virenscanner ist.

    Ausgehend: Verhindert, dass Webserver Informationen an den Client durchlassen. Hierzu gehören unter anderem Fehlermeldungen, die von Servern versendet werden und die von Angreifern genutzt werden, um sensible Daten zu sammeln oder Schwachstellen zu erkennen.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  6. Nehmen Sie die folgenden Scaneinstellungen vor:

    Antiviren-Scan aktivieren: Wählen Sie diese Option, um einen Webserver vor Viren zu schützen.

    Modus: Sophos UTM bietet mehrere Antiviren-Mechanismen für die höchst mögliche Sicherheit.

    • Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte Systemeinstellungen > Scan-Einstellungen festgelegte Engine wird verwendet.
    • Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit einem BasicGuard-Abonnement nicht verfügbar ist.

    Richtung: Wählen Sie aus der Auswahlliste, ob nur Up- oder Downloads gescannt werden sollen oder beides.

    Unscanbaren Inhalt blockieren: Aktivieren Sie diese Option, um Dateien zu blockieren, die nicht gescannt werden können. Der Grund hierfür kann unter anderem sein, dass Dateien verschlüsselt oder beschädigt sind.

    Hinweis – Bitte beachten Sie, dass sich die Größenbegrenzung auf den Upload bezieht, nicht auf einzelne Dateien. Das bedeutet, wenn Sie zum Beispiel eine Beschränkung auf 50 MB setzen und mehrere Dateien hochladen (45 MB, 5 MB und 10 MB), wird die letzte Datei aufgrund der Beschränkung nicht gescannt und es könnte sein, dass ein Virus nicht gefunden wird.

    Hinweis – Wenn Sie keinen Wert für die Beschränkung der Scangröße angeben, wird die Beschränkung mit '0' gespeichert, was bedeutet, dass keine Beschränkung aktiv ist.

    Uploads nach MIME-Typ blockieren: Wählen sie diese Option, um Uploads zu scannen und zu blockieren basierend auf dem MIME-Typ (RFC 2045, RFC 2046).

    Blockierte MIME-Typen: Geben Sie die MIME-Typen ein, die Sie beim Hochladen von Dateien blockieren wollen.

    Unscanbaren Inhalt blockieren: Aktivieren Sie diese Option, um Dateien zu blockieren, die nicht gescannt werden können. Der Grund hierfür kann unter anderem sein, dass Dateien verschlüsselt oder beschädigt sind.

    Scan-Timeout: Geben Sie die Timeout-Grenze für Antiviren- und MIME-Typ-Scans ein. Nach dem Timeout wird die Datei blockiert. Der Standardwert sind 90 Sekunden.

    Scangröße beschränken: Aktivieren Sie diese Option, um eine Beschränkung für die Scangröße für Antiviren und MIME-Typen einzugeben. Geben Sie die Größenbeschränkung in Megabytes an.

  7. Nehmen Sie die folgenden Einstellungen für die Anwendungsanpassung vor:

    Outlook Anywhere durchlassen: Erlaubt externen Microsoft-Outlook-Clients den Zugriff auf den Microsoft Exchange Server über die WAF. Microsoft-Outlook-Verkehr wird nicht durch die WAF überprüft oder geschützt.

  8. Klicken Sie auf Speichern.

    Das WAF-Profil wird der Liste Firewall-Profile hinzugefügt.

Zusätzliche Informationen zu den Funktionen „Statisches URL-Hardening“ und „Form-Hardening“

Am besten wäre es, jederzeit sowohl URL-Hardening als auch Form-Hardening zu nutzen, da sich beide Funktionen gegenseitig ergänzen. Insbesondere verhindern Sie dadurch Probleme, die auftreten können, wenn Sie nur eine Option nutzen.

  • Nur Form-Hardening ist aktiviert: Wenn eine Webseite Hyperlinks enthält, denen Anfragen angehängt sind (was bei bestimmten CMSClosed der Fall ist), z.B. http://beispiel.de/?view=article&id=1, werden solche Seitenabfragen durch Form-Hardening blockiert, da die Signatur fehlt.
  • Nur URL-Hardening ist aktiviert: Wenn ein Webbrowser Formulardaten an die Aktions-URL des form-Tags eines Webformulars anhängt (was bei GET-Anfragen der Fall ist), werden die Formulardaten in die Anfrage-URL integriert, die an den Webserver gesendet wird. Dadurch wird die URL-Signatur ungültig.

Diese Probleme treten nicht auf, wenn beide Funktionen aktiviert sind, da der Server die Anfrage akzeptiert, wenn entweder Form-Hardening oder URL-Hardening die Anfrage für gültig befindet.

Outlook Web Access

Die Konfiguration der WAF für Outlook Web Access (OWA) ist etwas heikel, da OWA Anfragen von einer öffentlichen IP anders behandelt als interne Anfragen von einer internen LAN-IP an die OWA-Website. Es gibt Umleitungen (engl. redirects), die an die OWA-URLs angehängt werden, wobei bei externem Zugriff die externe FQDN verwendet wird, bei internen Anfragen hingegen die interne Server-IP-Adresse.

Zur Lösung muss das OWA-Verzeichnis als Einstiegs-URL im WAF-Profil Ihres OWA-Webservers eingetragen werden (z.B. http://webserver/owa/). Zusätzlich müssen Sie eine Ausnahme anlegen, die URL-Hardening für den Pfad /owa/*, /OWA/* ausnimmt, und Sie müssen die Cookie-Signierung für den virtuellen Server komplett ausschalten.

Sie müssen die folgenden Einstellungen festlegen damit die Benachrichtigungen angezeigt werden:

Erstellen Sie eine zweite Ausnahme, welche die Antivirusprüfung überspringt, überspringen Sie alle Kategorien für den Pfad /owa/ev.owa* und aktivieren die erweiterte Funktion Ändere niemals HTML während Static URL Hardening oder Form Hardening.