Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
KONTAKT

WAF in F5 – wie die Anwendungsfirewall funktioniert und wovor sie schützt

Eine Web Application Firewall (WAF) ist eine der wichtigsten Sicherheitskomponenten in jedem Unternehmen mit webbasierten Anwendungen, die über das Internet zugänglich sind. Leider bedeutet „wir haben eine WAF“ nicht immer „wir sind geschützt“ – viele WAF-Implementierungen arbeiten im „Nur-Überwachungs“-Modus, haben veraltete Signaturen oder sind so vorsichtig konfiguriert, dass sie die meisten Angriffe durchlassen. WAF von F5 Networks ist eine Lösung, die – wenn sie richtig konfiguriert ist – Anwendungen wirklich schützt und nicht nur Protokolle erzeugt.

Inhaltsverzeichnis

  1. Was ist eine WAF und wie unterscheidet sie sich von einer Netzwerk-Firewall?
  2. Wie WAF F5 funktioniert – Überprüfungsmechanismen
  3. Schutz vor den OWASP Top 10 Angriffen
  4. API-Schutz – warum muss eine WAF APIs verstehen?
  5. Bot-Management – wie kann man einen guten von einem schlechten Bot unterscheiden?
  6. WAF im Lernmodus – automatische Richtlinienkonfiguration
  7. Wichtigste Schlussfolgerungen
  8. FAQ
  9. Zusammenfassung

Was ist eine WAF und wie unterscheidet sie sich von einer Netzwerk-Firewall?

Eine klassische Netzwerk-Firewall (L3/L4) kontrolliert den Fluss von Paketen auf der Grundlage von IP-Adressen, Ports und Protokollen – sie erlaubt oder blockiert TCP/UDP-Verbindungen, ohne den Inhalt zu sehen. WAF arbeitet auf der Anwendungsschicht (L7) und versteht das HTTP/HTTPS-Protokoll – sie analysiert den Inhalt von Anfragen und Antworten, HTTP-Header, URL-Parameter, POST-Anfragekörper und JSON/XML-Strukturen.

Dieser Unterschied ist grundlegend: Ein SQL-Injection-Angriff, der über Port 443 (HTTPS) an eine normale Firewall gesendet wird, sieht aus wie normaler Webverkehr. Die WAF sieht den Inhalt der Anfrage, erkennt das SQL-Injection-Muster und blockiert es. Die Firewall schützt das Netzwerk, die WAF schützt die Anwendung – und das eine ersetzt das andere nicht.

F5 Networks bietet WAF sowohl als Hardware-Appliance (BIG-IP ASM), als virtuelle Software und als Cloud-Service (F5 Distributed Cloud WAAP) an – und damit die nötige Flexibilität für unterschiedliche Einsatzarchitekturen.

Wie WAF F5 funktioniert – Überprüfungsmechanismen

WAF F5 (Advanced WAF / BIG-IP ASM) verwendet mehrere parallel laufende Prüfmechanismen. Die Signaturprüfung vergleicht Anfragen mit einer Datenbank bekannter Angriffsmuster – Hunderttausende von Signaturen für SQL Injection, XSS, Command Injection, Path Traversal, SSRF und andere Kategorien. Die Signaturdatenbank wird regelmäßig von F5 Threat Intelligence aktualisiert.

Die HTTP-Protokollanalyse prüft, ob es sich bei der Anfrage um eine korrekt strukturierte, RFC-konforme HTTP-Anfrage handelt – Protokollanomalien weisen oft auf Angriffe oder automatisierte Tools hin. Das positive Sicherheitsmodell definiert, was erlaubt ist (im Gegensatz zur negativen Sicherheit, die definiert, was verboten ist) – nur Anfragen, die das definierte Format erfüllen, werden durchgelassen, alles andere wird blockiert.

Die Verhaltensanalyse analysiert das Benutzerverhalten im Laufe der Zeit – Anfragemuster, die für automatisierte Tools (Scanner, Bots) spezifisch sind, werden identifiziert und unabhängig von der Signatur des jeweiligen Angriffs blockiert.

Schutz vor den OWASP Top 10 Angriffen

Die OWASP Top 10 ist eine Liste der 10 schwerwiegendsten Kategorien von Schwachstellen in Webanwendungen, die vom Open Web Application Security Project veröffentlicht wird. WAF F5 ist darauf optimiert, jede dieser Kategorien zu blockieren.

Injektion (SQL, NoSQL, LDAP, OS Command Injection) – WAF analysiert Anfrageparameter auf der Suche nach Sequenzen, die für Code-Injektionsversuche charakteristisch sind. Der Mechanismus ist resistent gegen typische Umgehungstechniken (Verschlüsselung, Fragmentierung, SQL-Kommentare).

Cross-Site Scripting (XSS) – Blockieren von Versuchen, JavaScript-Code in Anfragen einzuschleusen, die in den Browsern anderer Benutzer ausgeführt werden könnten. Die F5 WAF versteht den Kontext – dasselbe Schlüsselwort kann im Inhalt eines Blogposts erlaubt und im Suchparameter blockiert sein.

Fehlerhafte Zugriffskontrolle und falsche Sicherheitskonfiguration – WAF kann Zugriffsrichtlinien auf URL-Ebene durchsetzen und den Zugriff auf Ressourcen blockieren, auf die ein Benutzer keinen Zugriff haben sollte.

Die Kombination von WAF mit Firewall-Lösungen der nächsten Generation schafft einen mehrschichtigen Schutz vom Netzwerk bis zur Anwendung.

API-Schutz – warum muss eine WAF APIs verstehen?

Moderne Webanwendungen bestehen größtenteils aus APIs – Frontends kommunizieren mit dem Backend über REST-APIs, Microservices kommunizieren untereinander über APIs, mobile Apps rufen APIs auf. Dadurch werden APIs zu einer immer wichtigeren Angriffsfläche, mit der klassische WAFs (die für HTML-Webanwendungen entwickelt wurden) nicht gut umgehen können.

F5 Advanced WAF verfügt über eine spezielle API-Sicherheit, die REST-, JSON- und GraphQL-Strukturen versteht. API-Sicherheitsrichtlinien können die Struktur des JSON-Körpers validieren (ob die Anfrage die erforderlichen Felder enthält, ob die Datentypen gültig sind), Ratenbeschränkungen für bestimmte API-Endpunkte durchsetzen, vor den OWASP API Security Top 10 (BOLA/IDOR, gebrochene Authentifizierung, übermäßige Datenfreigabe und mehr) schützen und den API-Zugriff durch OAuth/JWT-Integration verwalten.

Bot-Management – wie kann man einen guten von einem schlechten Bot unterscheiden?

Nicht alle Bots sind schlecht – Googelbot, Überwachungsbots, Partner-API-Bots sind allesamt willkommener Traffic. Zu den schlechten Bots gehören: Web Scraper, die Inhalte stehlen, Bots, die versuchen, über eine Liste von Passwortlecks Konten zu übernehmen, Bots, die auf Werbung klicken, Bots, die DDoS-Angriffe auf Anwendungen durchführen.

F5 Advanced WAF verfügt über ein integriertes Bot-Management-Modul, das mehrere Techniken zur Identifizierung von Bots einsetzt. JavaScript-Herausforderung – die Seite sendet eine JavaScript-Herausforderung, die vom Browser ausgeführt werden muss. Bots ohne JS-Engine werden die Herausforderung nicht bestehen. Browser-Fingerprinting – Analyse der Browser-Eigenschaften (Schriftarten, Plugins, WebGL, Bildschirmauflösung) im Vergleich zu den erwarteten Werten für den angegebenen User-Agent. CAPTCHA als Eskalation für verdächtigen Datenverkehr. Verhaltensanalyse – Klickmuster, Mausbewegungen, Zeit zwischen Aktionen, die spezifisch für Menschen und Automaten sind.

WAF im Lernmodus – automatische Richtlinienkonfiguration

Eine WAF von Grund auf neu zu konfigurieren ist ein mühsamer Prozess – insbesondere bei komplexen Anwendungen mit Hunderten von Endpunkten und Tausenden von Parametern. F5 Advanced WAF bietet einen Lernmodus (automatische Richtlinienerstellung), der den Anwendungsverkehr über einen bestimmten Zeitraum beobachtet und automatisch Sicherheitsrichtlinien auf der Grundlage der beobachteten Muster erstellt.

Im Lernmodus blockiert die WAF nichts, sondern sammelt Informationen: welche URLs verfügbar sind, welche Parameter jeder Endpunkt akzeptiert, typische Werte und Datentypen. Nach der Lernphase erstellt die WAF einen positiven Vorschlag für die Sicherheitsrichtlinien, den der Administrator überprüft und genehmigt oder ändert. Dies beschleunigt die Implementierung erheblich und verringert das Risiko, dass gültiger Datenverkehr blockiert wird.

Wichtigste Schlussfolgerungen

  • WAF arbeitet auf der L7-Ebene und versteht HTTP/HTTPS. Dadurch kann sie den Inhalt von Anfragen prüfen und Anwendungsangriffe blockieren, die für die Netzwerk-Firewall unsichtbar sind.
  • F5 Advanced WAF kombiniert Signaturprüfung, positives Sicherheitsmodell und Verhaltensanalyse.
  • Der API-Schutz ist eine separate, dedizierte Komponente – entscheidend für moderne Anwendungsarchitekturen.
  • Die Bot-Verwaltung unterscheidet erwünschten automatisierten Datenverkehr von bösartigem Datenverkehr durch JavaScript-Challenges, Fingerprinting und Verhaltensanalyse.
  • Der Lernmodus erstellt automatisch Sicherheitsrichtlinien auf der Grundlage von Beobachtungen des tatsächlichen Datenverkehrs und verkürzt so die Implementierungszeit.

FAQ

Kann WAF F5 falsch-positive Meldungen verursachen (die korrekte Bewegung blockieren)? Ja – jede WAF kann Fehlalarme erzeugen, insbesondere wenn sie zu aggressiv konfiguriert ist. Der Lernmodus und die schrittweise Verschärfung der Richtlinien minimieren dieses Risiko. F5 bietet auch einen „transparenten“ Modus (nicht blockierende Überwachung) zur Kalibrierung von Richtlinien, bevor die Blockierung ausgelöst wird.

Unterstützt die F5 WAF IPv6? Ja – F5 BIG-IP unterstützt vollständig IPv4/IPv6 Dual-Stack.

Wie aktualisiert die F5 WAF Angriffssignaturen? Die Signaturen werden von F5 Threat Intelligence automatisch aktualisiert – neue Angriffsmuster werden regelmäßig hinzugefügt, oft innerhalb von Stunden, nachdem sie in freier Wildbahn entdeckt wurden.

Kann die WAF F5 in der Cloud eingesetzt werden? Ja – F5 bietet WAF in Form von: BIG-IP Virtual Edition (VM in der Cloud), F5 Distributed Cloud WAAP (SaaS) und Marketplace-Images für AWS/Azure/GCP.

Zusammenfassung

Die WAF von F5 ist eine der fortschrittlichsten Lösungen zum Schutz von Webanwendungen auf dem Markt. Sie kombiniert Signaturprüfung mit einem positiven Sicherheitsmodell, speziellem API-Schutz und fortschrittlichem Bot-Management. Eine richtige WAF-Implementierung ist jedoch keine einmalige Aufgabe, sondern ein fortlaufender Prozess der Kalibrierung und Aktualisierung. Kontaktieren Sie Ramsdata, um herauszufinden, wie F5 Networks die Webanwendungen Ihres Unternehmens schützen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

error: Content is protected !!