WAF-verwaltete Regeln (Web Application Firewall) verstehen

​​ Überblick

Verwaltete Regeln, ein Feature der Cloudflare WAF (Web Application Firewall), identifiziert und entfernt verdächtige Aktivitäten für HTTP GET- und POST-Anfragen. 

Beispiele für böswillige Inhalte Open external link , die von verwalteten Regeln erkannt werden, sind: 

• Häufige Schlüsselwörter, die in Kommentarspam verwendet werden (XX, Rolex, Viagra, usw.), 
• Cross-Site-Scripting-Angriffe (XSS) und 
• SQL-Injection (SQLi).

Die verwalteten Regeln sind für Pro, Business und Enterprise Pläne für alle Subdomains, für die Cloudflare als Proxy dient Open external link , verfügbar. Kontrollieren Sie die Einstellungen für verwaltete Regeln unter Sicherheit > WAF > Verwaltete Regeln. Verwaltete Regeln umfassen drei Pakete: 

• Cloudflare Managed Rulesets 
• Paket: OWASP ModSecurity Core Rule Set
• Customer Requested Rules 

Überprüfen Sie die blockierten Bedrohungen über das Aktivitätsprotokoll der Firewall Analytics, Sie finden es unter Sicherheit > Übersicht.

​​ Wichtige Faktoren

• Verwaltete Regeln verursachen eine begrenzte Latenz. 
• Änderungen an den von der WAF verwalteten Regeln werden in etwa 30 Sekunden global aktualisiert.
• Cloudflare filtert Traffic mithilfe proprietärer Regeln. 
• Eingerichtete Websockets lösen keine verwalteten Regeln für nachfolgende Anfragen aus.
• Verwaltete Regeln analysieren JSON-Antworten, um auf APIs abzielende Schwachstellen zu identifizieren. Das Parsen von JSON-Nutzdaten ist auf 128 KB begrenzt.
• Verwaltete Regeln bekämpfen Padding-Techniken. Wir empfehlen Folgendes:
  1. Aktivieren Sie die Regel 100048. Diese Regel schützt jetzt vor Angriffen vom Typ Padding. Sie wird standardmäßig nicht bereitgestellt, da sie in Kundenumgebungen viele falsch-positive Ergebnisse erzeugt. Die Kunden müssen die Konfiguration ihrer verwalteten Regeln jedoch unbedingt abstimmen. Cloudflare arbeitet an einer besseren, langfristigen Lösung.
  2. Erstellen Sie mit dem Expression Editor eine Firewall-Regel, je nachdem, ob Sie Header und/oder Body prüfen müssen, um größere Nutzdaten (> 128 KB) zu blockieren. Testen Sie Ihre Firewall-Regel zunächst im Protokollmodus, da sie unter Umständen zu falsch-positiven Ergebnissen führen kann.
     • http.request.body.truncated
     • http.request.headers.truncated
• Es gibt eine Handvoll verwalteter Regeln, die Cloudflare auch dann nicht deaktiviert, wenn die Option Verwaltete Regeln im Cloudflare-Dashboard ausgeschaltet ist, wie die Regel-IDs WP0025B, 100043A und 100030.

​​ Ein Hinweis zu falsch-positiven und falsch-negativen Ergebnissen

Die WAF-Regeln werden standardmäßig vollständig über das Cloudflare-Dashboard verwaltet und sind mit den meisten Websites und Webanwendungen kompatibel. Falsch-positive und falsch-negative Ergebnisse sind jedoch angesichts der enormen Größe des Internets möglich:

• Falsch-positive Ergebnisse: Legitime Anfragen wurden als böswillig erkannt und herausgefiltert.
• Falsch-negative Ergebnisse: Böswillige Anfragen werden nicht gefiltert.

​​ Fehlerbehebung bei falsch-positiven Ergebnissen von WAF-verwalteten Regeln

Was man unter „verdächtigen Inhalten“ versteht, unterscheidet sich von Website zu Website.  Zum Beispiel ist PHP-Code, der auf Ihrer Website veröffentlicht wird, normalerweise verdächtig. Wenn allerdings auf Ihrer Website Programmieren unterrichtet wird und die Besucher aufgefordert werden, PHP-Code einzureichen, wäre er unverdächtig.  Daher muss eine solche Website verwaltete Regeln, die den normalen Betrieb stören, deaktivieren.

Um auf falsch-positive Ergebnisse zu testen, stellen Sie die WAF-verwalteten Regeln auf den Simulationsmodus ein. So wird die Reaktion auf mögliche Angriffe aufgezeichnet, ohne dass diese abgewehrt oder blockiert werden. Mit dem Firewall-Analytics-Aktivitätsprotokoll können Sie außerdem feststellen, welche WAF-verwalteten Regeln ein falsch-positives Ergebnis verursacht haben.

Wenn eine veraltete WAF Open external link ein falsch-positives Ergebnis verursacht, gibt es mehrere Lösungsmöglichkeiten:

• Die IP-Adressen des Clients in die Genehmigungsliste der IP-Access-Regeln Open external link aufnehmen: Wenn der Browser oder der Client von diesen IP-Adressen aus zugreift, wird das Zulassen empfohlen. 
• Die entsprechenden verwaltete Regeln Open external link deaktivieren: Stoppt die Blockierung oder Herausforderung von falsch-positiven Ergebnissen, macht die Website aber insgesamt weniger sicher. Eine durch die Regel-ID 981176 blockierte Anfrage bezieht sich auf OWASP-Regeln. Reduzieren Sie die OWASP-Empfindlichkeit, um das Problem zu beheben.
• Umgehen Sie WAF-verwaltete Regeln mit einer Firewall-Regel: Erstellen Sie eine Firewall-Regel mit der Bypass-Aktion, um WAF-verwaltete Regeln für eine bestimmte Kombination von Parametern zu deaktivieren. Zum Beispiel: Umgehen der verwalteten Regeln für eine bestimmte URL und eine bestimmte IP-Adresse oder einen bestimmten User Agent.
• (nicht empfohlen) Die WAF-verwalteten Regeln für den Traffic zu einer URL deaktivieren:  Verringert die Sicherheit für den jeweiligen URL-Endpunkt.  Wird über die Page Rules Open external link konfiguriert.

Wenn eine neue WAF Open external link ein falsch-positives Ergebnis verursacht, gibt es mehrere Lösungsmöglichkeiten:

1. WAF-Ausnahme hinzufügen: Sie können WAF-Ausnahmen im Cloudflare-Dashboard oder über die API für Regelsätze definieren.
2. Die entsprechenden verwalteten Regeln Open external link deaktivieren: Stoppt die Blockierung oder Herausforderung von falsch-positiven Ergebnissen, macht die Website aber insgesamt weniger sicher. Eine durch die Regel-ID 949110 blockierte Anfrage bezieht sich auf neue OWASP-Regeln Open external link . Reduzieren Sie die OWASP-Empfindlichkeit, um das Problem zu beheben.

Hinweis: Wenn Sie den Cloudflare-Support kontaktieren Open external link , damit dieser überprüft, ob eine WAF-verwaltete Regel wie erwartet ausgelöst wird, fügen Sie auch eine HAR-Datei an Open external link , die beim Senden der spezifischen Anfrage erfasst wurde.

Weitere Empfehlungen:

• Wenn eine bestimmte Regel zu einem falsch-positiven Ergebnis führt, setzen Sie den Modus der Regel auf Deaktivieren, anstatt die gesamte Regel-Gruppe auszuschalten.
• Um falsch-positive Ergebnisse durch Administrator-Content auf Ihrer Website zu vermeiden, erstellen Sie eine Page Rule Open external link , die für den Admin-Abschnitt Ihrer Site-Ressourcen die Sicherheit deaktiviert, d. h. ihreseite.com/admin.

​​ Fehlerbehebung bei falsch-negativen Ergebnissen von WAF-verwalteten Regeln

Um falsch-negative Ergebnisse zu identifizieren, überprüfen Sie die HTTP-Protokolle auf Ihrem Ursprungswebserver. Richten Sie sich dabei nach der folgenden Checkliste:

• Sind die WAF-verwalteten Regeln unter Sicherheit > WAF > Verwaltete Regeln aktiviert?
• Werden die WAF-verwalteten Regeln über Page Rules Open external link deaktiviert?
• Nicht alle WAF-verwalteten Regeln sind standardmäßig aktiviert. Überprüfen Sie daher die Standardaktionen einzelner WAF-verwalteter Regeln.
  • Beispielsweise lässt Cloudflare standardmäßig Anfragen mit leeren User Agents zu. Um Anfragen mit einem leeren User Agent zu blockieren, ändern Sie den Modus der Regel in Blockieren
  • Ein weiteres Beispiel: Wenn Sie ungehinderte SQL-Injection-Angriffe blockieren möchten, stellen Sie sicher, dass die entsprechenden SQLi-Regeln aktiviert und unter der Gruppe Cloudflare Specials auf Blockieren gesetzt sind.
• Werden DNS-Einträge, die HTTP-Traffic bereitstellen, über Cloudflare als Proxy umgeleitet?
• Umgeht eine Firewall-Regel die verwalteten Regeln? 
• Stimmt ein erlaubtes Land, eine ASN, ein IP-Bereich oder eine IP in IP-Access-Regeln Open external link oder Firewall-Regeln mit dem Angriffs-Traffic überein?
• Wird der böswillige Traffic an Ihre Ursprungs-IP-Adressen geleitet, um den Cloudflare-Schutz zu umgehen? Blockieren Sie den gesamten Traffic, außer den von Cloudflare-IP-Adressen Open external link direkt an Ihrem Ursprungs-Webserver.

​​ Cloudflare Managed Ruleset

Der von Cloudflare verwaltete Regelsatz enthält von Cloudflare geschriebene und kuratierte Sicherheitsregeln. Wenn Sie unter Gruppe auf den Namen eines Regelsatzes klicken, wird eine Beschreibung der Regel angezeigt. 

Cloudflare Specials ist eine Gruppe, die zentrale Firewall-Sicherheit gegen gängige Angriffe Open external link bietet.   

Bei der Anzeige eines Regelsatzes zeigt Cloudflare Standardaktionen für jede Regel an, aufgeführt unter Standardmodus. Folgende Modi sind für einzelne Regeln innerhalb eines bestimmten von Cloudflare verwalteten Regelsatzes verfügbar:

• Standard: übernimmt die Standardaktion, die unter Standardmodus genannt wird, wenn eine bestimmte Regel angezeigt wird.
• Deaktivieren: schaltet die spezifische Regel innerhalb der Gruppe aus**.**
• Blockieren: die Anfrage wird verworfen. 
• Legacy CAPTCHA: Der Besucher bekommt eine CAPTCHA-Abfrageseite vorgelegt.
• Simulieren: Die Anfrage wird durchgelassen, aber im Aktivitätsprotokoll protokolliert.

Mit dem WAF-Änderungsprotokoll von Cloudflare können Kunden laufende Änderungen am Cloudflare-verwalteten Regelsatz überwachen.

​​ Paket: OWASP ModSecurity Core Rule Set

​​ Das OWASP-Paket von Cloudflare verstehen

Das Paket: OWASP ModSecurity Core Rule Set ordnet jeder Anfrage eine Punktzahl zu, die davon abhängt, wie viele OWASP-Regeln ausgelöst werden. Einige OWASP-Regeln haben eine höhere Punktesensitivität als andere. Nachdem OWASP eine Anfrage bewertet hat, vergleicht Cloudflare die endgültige Punktzahl mit der für die Domain konfigurierten Sensitivität. Wenn die Punktzahl die Sensitivität übersteigt, wird die Anfrage basierend auf der Aktion, die im Paket: OWASP ModSecurity Core Rule Set konfiguriert ist, verarbeitet:

• Blockieren: Die Anfrage wird verworfen.
• Herausfordern: Der Besucher bekommt eine CAPTCHA-Herausforderungsseite vorgelegt.
• Simulieren: Die Anfrage wird durchgelassen, aber im Aktivitätsprotokoll protokolliert.

Die Punktesensitivität, die erforderlich ist, um die WAF für eine bestimmte Sensitivität auszulösen, lautet wie folgt:

• Niedrig: ab 60
• Mittel: ab 40
• Hoch: ab 25

Für Ajax-Anfragen werden stattdessen die folgenden Punktzahlen angewendet:

• Niedrig: ab 120
• Mittel: ab 80
• Hoch: ab 65

Im Aktivitätsprotokoll können Sie sich die endgültige Punktzahl sowie die einzelnen ausgelösten Regeln ansehen.

​​ Das OWASP-Paket von Cloudflare steuern

Das Paket: OWASP ModSecurity Core Rule Set enthält verschiedene Regeln aus dem OWASP-Projekt Open external link . Cloudflare schreibt oder kuratiert keine OWASP-Regeln. Wenn Sie unter Gruppe auf einen Regelsatznamen klicken, wird eine Beschreibung der Regel angezeigt. Im Gegensatz zum von Cloudflare verwalteten Regelsatz werden spezifische OWASP-Regeln entweder ein- oder ausgeschaltet.

Zur Verwaltung des OWASP-Thresholds, setzen Sie die Empfindlichkeit unter Paket: OWASP ModSecurity Core Rule Set auf Niedrig, Mittel oder Hoch. Wenn Sie die Empfindlichkeit auf Aus setzen, wird das gesamte OWASP-Paket einschließlich aller Regeln deaktiviert. Was die richtige Empfindlichkeit für Sie ist, hängt von Ihrer Branche und Ihrem Betrieb ab. Zum Beispiel ist die Einstellung Niedrig geeignet für:

• bestimmte Branchen, die mit höherer Wahrscheinlichkeit die WAF auslösen, sowie
• große Datei-Uploads. 

Cloudflare empfiehlt, die Sensitivität zunächst auf Niedrig einzustellen und auf falsch-positive Ergebnisse zu überprüfen und die Sensitivität erst dann weiter zu erhöhen.

​​ Verwandte Ressourcen

• Firewall-Analytics
• Cloudflare Firewall-Regeln
• Cloudflare-WAF-Änderungsprotokoll