Web Application Firewall (WAF)

Die Web Application Firewall (WAF) von maxcluster ist ein zentrales Sicherheitsmodul für moderne E-Commerce-Plattformen. Sie wird als Managed Service DSGVO-konform innerhalb der maxcluster-Infrastruktur betrieben und schützt Ihren Onlineshop in Echtzeit vor typischen Angriffsvektoren auf Anwendungsebene.

Kosten & Verfügbarkeit

Die Abrechnung der Erweiterung Web Application Firewall (WAF) erfolgt SLA-basiert.

• Basic-SLA: Kostenpflichtige Erweiterung für 20 €/Monat pro Vertrag (netto) bei tagesgenauer Abrechnung.
• Business- & Enterprise-SLA: Erweiterung inklusive, muss aber pro Vertrag aktiv eingeschaltet werden.
• DEV-SLA: Die Erweiterung ist für reine Entwicklungs-Cluster nicht verfügbar.

Die konkrete Abrechnung und Ausweisung auf Ihrer Rechnung richtet sich nach Ihrem gewählten SLA und den gebuchten Erweiterungen.

Voraussetzungen

Damit die WAF technisch genutzt werden kann, müssen folgende Kriterien erfüllt sein:

Voraussetzungen pro Server:

1. Betriebssystem: Ubuntu 22.04 oder höher.
2. Web-Stack: aktives VarnishSSL auf dem Server.
3. Vertrag: Die Erweiterung „Web Application Firewall“ muss im Application Center gebucht sein. Die Buchung und das Entfernen der Erweiterung sind nur mit Manager-Berechtigung möglich.
4. Service: Der Service „Web Application Firewall“ muss im Managed Center pro Server aktiviert sein.

Funktionsweise & technische Details

Die WAF ist ein gezieltes, zentrales Schutzmodul für Webanwendungen und insbesondere für E-Commerce-Anwendungen wie Onlineshops. Sie analysiert eingehende Anfragen auf Anwendungsebene und blockiert schadhafte Zugriffe, bevor sie Ihre Applikation erreichen.

Die wichtigsten Merkmale im Überblick:

• Die WAF wird als Managed Service DSGVO-konform bereitgestellt und vollständig in der lokalen maxcluster-Infrastruktur betrieben.
• Sie schützt Onlineshops zuverlässig und in Echtzeit vor typischen Angriffsvektoren wie Brute-Force-Angriffen, Injection-Angriffen oder dem Ausnutzen bekannter Sicherheitslücken (Exploits).
• Der Schutz greift vollautomatisch und ohne Einsatz von Captchas direkt beim ersten Zugriff, sodass die User-Experience für legitime Besucher nicht beeinträchtigt wird.
• Es findet keine Übertragung sicherheitsrelevanter Daten in Drittstaaten statt, wodurch maximale Datensouveränität und DSGVO-Konformität gewährleistet werden.
• Sie behalten die volle Kontrolle und Unabhängigkeit von externen CDN- oder Cloud-Anbietern, wie zum Beispiel Cloudflare.

Ihr Vorteil im täglichen Betrieb: Die Einführung der WAF erhöht die Sicherheit Ihrer Infrastruktur und reduziert den Aufwand sowie die Kosten im Support, da deutlich weniger Angriffe auf Anwendungsebene manuell analysiert, abgewehrt und bearbeitet werden müssen.

Funktionsumfang in der ersten Version (MVP)

In der ersten veröffentlichten Version wird die WAF ohne dedizierte Bot-Schutzfunktionen wie Scraping-Erkennung oder Bot-Ratenkontrolle ausgeliefert. Diese Bot-Schutzfunktionen sind technisch bereits vorbereitet und können zu einem späteren Zeitpunkt seitens maxcluster freigeschaltet oder erweitert werden. Über Änderungen am Funktionsumfang der WAF werden Sie von maxcluster entsprechend informiert.

Aktivierung & Einrichtung

Die Aktivierung & Einrichtung der WAF erfolgt in zwei Schritten:

1. Vertragliche Buchung auf Cluster-Ebene
2. Technische Aktivierung pro Server

Schritt 1: Erweiterung buchen (Application Center)

Um die WAF-Erweiterung in Ihrem Vertrag zu buchen, gehen Sie wie folgt vor:

1. Loggen Sie sich zunächst mit Ihren Benutzerdaten unter app.maxcluster.de/login ein.
   Nach erfolgreicher Anmeldung gelangen Sie automatisch in Ihre Übersicht.
   
2. Navigieren Sie zu Erweiterungen.
   
3. Wählen Sie den gewünschten Cluster aus. Ein Cluster und der zugehörige SLA sind hier bereits vorausgewählt.
   
4. Klicken Sie bei der Erweiterung Web Application Firewall (WAF) auf +Hinzufügen. Die Buchung wird damit bestätigt.

Erweiterung entfernen
Möchten Sie die Erweiterung entfernen?

1. Deaktivieren Sie zuerst den WAF-Service im Managed Center auf allen Servern des Clusters.
2. Danach entfernen Sie die WAF-Erweiterung im Application Center unter Erweiterungen, um die Abrechnung zu stoppen.

Schritt 2: Service aktivieren (Managed Center)

Sobald die Erweiterung Web Application Firewall (WAF) in Ihrem Vertrag gebucht ist und die technischen Voraussetzungen auf dem Server erfüllt sind, können Sie den WAF-Service im Managed Center pro Server aktivieren.

Gehen Sie dafür wie folgt vor:

1. Öffnen Sie das Managed Center Ihres Clusters.
   
2. Sind mehrere Server auf Ihrem Cluster vorhanden, dann wählen Sie zuerst den gewünschten Server aus.
   
3. Wählen Sie im Dashboard in der Sektion Erweiterungen den Eintrag für den Web Application Firewall aus.
   
4. Der Service wird über den Schalter aktiviert.
   
   Im Hintergrund findet automatisiert eine Prüfung statt, ob die technischen Voraussetzungen erfüllt sind. Sollte dies nicht der Fall sein, werden Sie darüber mittels einer Meldung informiert.

Service deaktivieren
Wenn Sie die WAF testweise deaktivieren müssen, können Sie den An-/Aus-Schalter im selben Bereich wieder auf „Aus“ stellen. Dies sollte jedoch nur für gezielte Tests und nur kurz erfolgen, da Ihr System währenddessen nicht durch die WAF geschützt wird.

Was passiert, wenn die Web Application Firewall (WAF) aktiviert ist?

Nach der Aktivierung wird die WAF für den ausgewählten Server aktiv und beginnt automatisch mit der Auswertung der eingehenden Anfragen. Angriffe werden gemäß den konfigurierten Regeln erkannt und geblockt, ohne dass weitere manuelle Schritte erforderlich sind.

Im Hintergrund werden mehrere technische Komponenten eingerichtet und betrieben:

• Die Software CrowdSec Appsec wird auf dem Server installiert, gestartet und über eine entsprechende Lua-Konfiguration direkt in VarnishSSL eingebunden.
• CrowdSec wertet Logfiles und Serveranfragen in Echtzeit lokal auf dem Server aus und nutzt Community-Regeln aus dem Crowd-Hub, um bekannte Angriffsmuster zu erkennen und abzuwehren.
• Die Regeln werden in einem regelmäßigen Rhythmus (mehrfach täglich) aktualisiert, um neue Angriffsmuster und aktuelle CVEs zeitnah abzudecken.
• Erkennt die WAF schadhafte Aktivitäten oder Angriffe von bestimmten IP-Adressen, werden diese IP-Adressen in Echtzeit geblockt. Zum Zeitpunkt der WAF-Veröffentlichung (MVP) erfolgt jedoch noch keine zusätzliche Firewall-seitige Sperrung, da diese erst mit der späteren Erweiterung um die Bot Protection anhand ergänzender Regeln umgesetzt wird.

Troubleshooting und Diagnose

Wenn berechtigte Anfragen fälschlicherweise blockiert werden oder Sie die Entscheidungen der WAF genauer analysieren möchten, stehen Ihnen folgende Möglichkeiten zur Verfügung:

1. Logfiles prüfen

   Aktive Sperrungen und sicherheitsrelevante Ereignisse können über die Logfiles unter /var/log/crowdsec/crowdsec.log nachvollzogen werden.

   In diesen Logfiles finden Sie Informationen zu erkannten Angriffen, getroffenen Entscheidungen und ggf. blockierten IP-Adressen.

   Hinweis: Für den Zugriff auf die Logfiles benötigen Sie SSH-Zugriff und entsprechende Berechtigungen auf dem Server.

2. Check-IP-Skript nutzen

   Zur schnellen Diagnose stellt maxcluster ein Check-IP-Skript mc-waf-check bereit, welches auf cscli zugreift:

   • Das Skript überprüft automatisiert, ob eine bestimmte IP-Adresse aktuell von der WAF betroffen ist.
   • Dabei werden Allowlist, Decision List und IPSets auf Einträge zu der zu prüfenden IP-Adresse kontrolliert.
   • So können Sie schnell feststellen, ob eine Einschränkung durch die WAF oder andere Netzwerkregeln verursacht wird.

   Eine Übersicht der Optionen von mc-waf-check erhalten Sie mit mc-waf-check --help

   Die gängigsten Anwendungsfälle für den täglichen Einsatz:

   • Einfache Prüfung einer IP:
     mc-waf-check 192.168.1.100
   • Vollständige Historie (alle Logs) einer IP mit ausgeben:
     mc-waf-check 192.168.1.100 --show-logs
   • Interaktiver Modus (mit anschließender Abfrage-Eingabe):
     mc-waf-check --interactive
   • Massenprüfung (Bulk-Check) via Textdatei:
     mc-waf-check --bulk ips.txt
   • Ergebnisse als JSON-Report exportieren:
     mc-waf-check 192.168.1.100 --export json --output report.json
   • Eine IP live alle 30 Sekunden überwachen:
     mc-waf-check 192.168.1.100 --watch 30

3. CrowdSec CLI-Tools verwenden

   Für eine tiefere Analyse stellt CrowdSec mächtige CLI-Tools bereit, die Sie direkt auf dem Server nutzen können. Das primäre Werkzeug hierfür ist cscli.

   Typische Anwendungsfälle:

   • Prüfung von Sperrungen: Nachvollziehen, warum eine bestimmte IP-Adresse blockiert wurde.
   • Sperren verwalten: Aufhebung oder manuelle Anpassung einer spezifischen Sperre (Decision).
   • Mustererkennung: Analyse von Angriffsmustern, deren Häufigkeit und den beteiligten Szenarien.
   • Allowlisten (Whitelists): Verwaltung von kundenspezifischen Ausnahmelisten, um eigene Infrastruktur oder Partner-IPs dauerhaft von Sperrungen auszunehmen.

   Funktionsumfang von cscli
   Mit dem CLI-Tool lassen sich folgende Kernbereiche detailliert auswerten und steuern:

   • Alerts: Einsehen und Verwalten von generierten Alarmen.
   • Decisions: Aktive Sperrentscheidungen einsehen, hinzufügen oder löschen.
   • Metrics: Abrufen von Performance- und Erkennungsstatistiken des CrowdSec-Agenten.

   Eine vollständige und generelle Übersicht zu allen Befehlen und Optionen von cscli finden Sie unter docs.crowdsec.net/docs/cscli/.

Wenn Sie Unterstützung bei der Auswertung der Logfiles, der Nutzung der CLI-Tools oder beim Einsatz des Check-IP-Skripts benötigen, kontaktieren Sie unseren Support unter support@maxcluster.de. Halten Sie dabei nach Möglichkeit die IP-Adresse, den ungefähren Zeitpunkt des Problems und die betroffene URL bereit.