Die Funktion „Legacy Web Application Firewall (WAF)“ im Kemp LoadMaster von Progress wurde im Juni 2021 offiziell eingestellt und wird, wie bereits angekündigt, mit der kommenden LMOS-Version 7.2.61.0 vollständig entfernt.
Im weiteren Verlauf dieses Artikels wird erläutert, was genau passiert, warum dies geschieht und welche Schritte aktuelle „Legacy WAF“-Benutzer einleiten sollten.
Die „Legacy WAF“-Funktion wird aus der LMOS Version 7.2.61.0 vollständig entfernt.
Diese Änderung hat keine Auswirkungen auf die neuere Ersatzfunktion „OWASP CRS WAF“, die seit 2021 in Betrieb ist.
Nach der Aktualisierung eines LoadMaster auf LMOS Version 7.2.61.0 sind das Panel „WAF-Optionen (Legacy)“ und seine Funktionen und Optionen nicht mehr für neue oder bestehende virtuelle Dienste verfügbar, einschließlich virtueller Dienste mit der vor der Aktualisierung aktivierten Funktion „Legacy WAF“.
Für bestehende virtuelle Dienste mit aktivierter Legacy WAF-Funktion wird stattdessen automatisch die Ersatzfunktion „OWASP CRS WAF“ aktiviert und eingeführt.
Bevor ein LoadMaster auf die LMOS Version 7.2.61.0 aktualisiert werden kann, wird Ihnen ein Warnfeld angezeigt mit Hinweisen zur Entfernung von der Legacy-WAF-Funktion.
Auf einem LoadMaster, auf dem ein oder mehrere „Legacy WAF“-Dienste verwendet werden, werden die betroffenen virtuellen Dienste in einem Dialogfeld vor dem Update wie folgt aufgelistet:
Wir empfehlen Ihnen dringlichst vor der Durchführung des Updates ein System-Backup zu vollführen. Dies ist besonders wichtig für Systeme, die die Legacy-WAF-Funktion verwenden.
Angenommen, es sind benutzerdefinierte „Legacy WAF“-Regeldateien oder benutzerdefinierte Regeldatendateien vorhanden (navigieren Sie in der Web-Benutzeroberfläche zu Web Application Firewall > Custom Rules). In diesem Fall ist es unerlässlich, sie zur sicheren Aufbewahrung herunterzuladen, da sie nach dem Update nicht mehr verfügbar sein werden.
Das Legacy-WAF-System bot Schutz mithilfe eines kommerziellen Sets von Sicherheitsregeln eines Drittanbieters für Sicherheitsregeln. Die Implementierung dieses Regelsatzes begann im August 2021 mit einem End-of-Life-Prozess und endete im Juli 2024. Die Einbindung wird nun nicht mehr unterstützt, weshalb es keine weiteren Updates oder Sicherheitskorrekturen gibt. Dies bedeutet wiederrum, dass der Regelsatz für den fortlaufenden Einsatz in einer ernsthaften Sicherheitsfunktion ungeeignet ist.
Im April 2021 wurde mit LMOS Version 7.2.54.0 eine Ersatz-WAF-Lösung, namens „OWASP CRS WAF“, hinzugefügt, um eine nachhaltige, langfristige WAF-Sicherheitslösung für LoadMaster-Benutzer bereitzustellen. Diese neue WAF-Lösung verwendet OWASP CRS, einen weit verbreiteten, branchenüblichen, kostenlosen Open-Source-WAF-Regelsatz. Die bekannte OWASP Foundation entwickelt ihn aktiv und transparent und ist keinen kommerziellen Interessen verpflichtet, wodurch diese Option als eine langfristige und widerstandsfähige Wahl gekennzeichnet ist.
Das bald eingestellte Legacy-WAF-System hat bisher ein Set von Sicherheitsregeln verwendet, das hauptsächlich dazu verfasst wurde, bestimmte und bekannte Schwachstellen und Nutzlasten zu erkennen. Dieser Ansatz ist insofern einschränkend, als er auf Folgendem beruht:
Im Gegensatz dazu verwendet das neuere Ersatzsystem OWASP CRS WAF einen generischen Regelsatz, um Datenverkehr basierend auf anomalen und böswillig aussehenden Aktivitäten zu erkennen und zu reduzieren. Dank seiner generischen Natur kann es zahlreiche Angriffe erkennen, darunter Angriffe der OWASP Top 10-Angriffskategorien, Zero-Day-Schwachstellen und sogar unbekannte Exploits. Dies ist möglich, weil völlig neue und originelle Angriffe selten sind. Neue Angriffe ähneln in der Regel anderen Angriffsklassen. Infolgedessen lösen neue Angriffe Sicherheitsregeln aus, die zur Erkennung ungewöhnlicher Aktivitäten zugeschrieben wurden.
Nutzer können vorhandene Legacy-WAF-Dienste konvertieren, um OWASP CRS WAF vorläufig zu ersetzen, bevor die LMOS 7.2.61.0 Aktualisierung durchgeführt wird. Dadurch bleibt genügend Zeit, um die neue WAF-Funktionalität für jede Webanwendung nach Bedarf anzupassen und zu konfigurieren (weitere Informationen zu diesem Prozess finden Sie in der LoadMaster-Dokumentation).
Wenn benutzerdefinierte Legacy-WAF-Regeln vorhanden sind, können diese manchmal im neuen WAF-System wiederverwendet werden:
Wenden Sie sich jederzeit an unser professionelles Serviceteam , um eine persönliche Beratung zu benutzerdefinierten WAF-Regeln zu erhalten.