WAF DDoS

Web Application Firewall (WAF) 

Eine Web Application Firewall (WAF) schützt Webanwendungen und APIs vor Angriffen wie den in den OWASP Top 10 hervorgehobenen (SQL-Injektionen, Cross-Site-Scripting (XSS) usw.), Denial-of-Service-Angriffen (DoS) auf Anwendungsebene wie Amplification-Attacken oder Slowloris, Zero-Day-Angriffen usw. Sie filtert, analysiert und blockiert die Inhalte der HTTP / HTTPS-Anfrage im eingehenden Datenverkehr, gegen deren Verhalten und Logik. Dies schützt Ihre Web-Assets vor böswilligen Benutzern und hilft, zwischen legitimen Benutzern und unerwünschtem DDoS-Verkehr zu unterscheiden. 

 

Rate Limit

Die meisten Web Application Firewalls haben ein Rate Limit zum Schutz vor Application-Flooding-Angriffen. Es ist wichtig, die Rate der Backend-Anfragen zu überprüfen, um den Schaden durch diese DoS-Angriffe einzudämmen und Ausfallzeiten zu reduzieren. Wenn Sie wissen, welche Teile Ihrer Webanwendung am anfälligsten für DoS-Attacken sind, können Sie die maximal erlaubte Anfragerate hierfür festlegen. Wenn ein Nutzer das von Ihnen definierte Rate Limit missachtet, können Sie ihn zeitlich begrenzt blockieren oder ihn etwa auf eine Captcha-Seite umleiten. Daher ist es von Vorteil, den Schutz auf Netzwerkebene mit Attributen zur Ratenbegrenzung zu ergänzen.

Blacklisting oder Whitelisting von Webverkehr 

Blacklisting oder Whitelisting von Datenverkehr sind Filtermöglichkeiten für Datenverkehr. Sie können sich bewähren, wenn Sie Angriffe auf der Anwendungsebene blockieren möchten, indem verhindert wird, dass etwa bösartige Anfragen den Server zum Absturz bringen. Der effektivste Weg, eine Blacklist zu erstellen, besteht darin, mit generischen Mustern zu arbeiten, anstatt für jede Sicherheitslücke ein eigenes Muster zu erstellen. Diese Technik ermöglicht das Blockieren von Zero-Day-Angriffen und DDoS-Attacken und führt zu einer besseren Leistung. Wenn generische Muster bestimmte Schwachstellen nicht erkennen können, sollte es ein dediziertes Muster geben, um diese zu blockieren. 

APIs hingegen sollen mit einem positiven Sicherheitsmodell geschützt werden. Entwickler erstellen Swagger- oder OpenAPI-Dateien, die das API-Verhalten beschreiben. Eine gute Whitelisting-Technologie ist in der Lage, mit diesen Standardformaten zu arbeiten und sie umzusetzen. Sowohl Blacklisting- als auch Whitelisting-Methoden ergänzen sich gegenseitig, und die richtige WAF ist in der Lage, beide zu verwalten.

 

Bedrohungsanalyse und Geo-Blocking

Als Ergänzung zu den oben beschriebenen Ansätzen nutzen gute WAFs auch Threat Intelligence, um passende IP-Adressen während eines Angriffs zu blockieren. Die Nutzung einer Echtzeit-Threat-Intelligence-Datenbank hilft, Kunden effektiv vor Bedrohungen durch bösartige IP-Adressen zu schützen. Sobald die eingehende Client-IP mit der IP-Reputationsdatenbank abgeglichen wird, liefert sie einen Reputationswert zusammen mit der Bedrohungskategorie der Client-IP. Abhängig von dieser Punktzahl können Sie dann entscheiden, ob Sie die angreifende IP auf eine Blacklist setzen. IP-Adressen, die von Botnetzen verwendet werden, haben meist eine schlechte Reputation, da sie bereits andere Angriffe durchgeführt haben. Daher können Sie rund 40 % eines Botnets basierend auf dessen schlechter IP-Reputation blockieren. Geo-Blocking ist eine weitere probate Möglichkeit. Wenn ein großer Teil der bösartigen IP-Adressen aus bestimmten Ländern stammt, können diese mit dieser Funktion exkludiert werden.

Wie schützen die Cybersecurity-Lösungen von Rohde & Schwarz?

Anti-DDoS WAF Schutz

Rohde & Schwarz Cybersecurity hat den Anspruch, Sie vor allen Arten von DoS- und DDoS-Angriffen zu schützen. Die Verwendung von Sicherheits-Engines, die auf 20 Jahren bewährter Expertise aufbauen, garantiert Ihnen das beste Schutzniveau bei gleichzeitiger Begrenzung der False-Positive-Rate. Dies ist ein wichtiger Aspekt, denn bei einer hohen False-Positive-Rate sind Angreifende immer noch erfolgreich, da Sie Ihren echten Besuchern Zugang verweigern. 

R&S®Cloud Protector bietet als SaaS WAF-Lösung mehr Bandbreite zur Aufnahme von bösartigem Datenverkehr und mehr Ressourcen als ein Private Netzwork und nutzt Technologien zur Filterung des Webverkehrs wie Geoloc, IP-Reputation, Vergleich von Signaturen, Blacklisting und Whitelisting sowie Rae Limit. Bösartiger Datenverkehr wird blockiert, ohne die das Nutzererlebnis Ihrer Kunden zu stören.

Eine SaaS WAF kann gute und schnelle Mitigationstechniken für DoS-Angriffe bieten, aber sie müssen den Angriff trotzdem früher in der Architektur erkennen. Je früher Sie Probleme innerhalb Ihrer Webanwendung erkennen, desto geringer der Schaden, der angerichtet werden kann. Wenn Sie einen proaktiven Ansatz gegen DDoS verfolgen möchten, sollte eine WAF nicht die einzige Sicherheitslösung bleiben. Eine gute Operator Strategie ist unerlässlich, um Ihre Infrastruktur zu verteidigen. Die hier beschriebenen Strategien sind geeignet, wenn der Datenverkehr durch eine DDoS-Schutzschicht auf Betreiberebene ordnungsgemäß bereinigt wurde, oder wenn ein applikativer Angriff nicht viel Datenverkehr erzeugt. Zusätzlich sollten Sie immer einige Best Practices für einen ganzheitlichen Anti-DDoS-Schutz ergreifen.

Eine WAF, ein qualitätsbewusster Anbieter und einige Security-Best-Practices kombiniert bieten guten Schutz vor DDoS-Angriffen. Mehr dazu in unserem Artikel Anti DDoS-Schutz.