Die Funktion „Legacy Web Application Firewall (WAF)“ im Kemp LoadMaster von Progress wurde im Juni 2021 offiziell eingestellt und wird, wie bereits angekündigt, mit der kommenden LMOS-Version 7.2.61.0 vollständig entfernt.
Im weiteren Verlauf dieses Artikels wird erläutert, was genau passiert, warum dies geschieht und welche Schritte aktuelle „Legacy WAF“-Benutzer einleiten sollten.
Was passiert hier gerade?
Die „Legacy WAF“-Funktion wird aus der LMOS Version 7.2.61.0 vollständig entfernt.
Diese Änderung hat keine Auswirkungen auf die neuere Ersatzfunktion „OWASP CRS WAF“, die seit 2021 in Betrieb ist.
Nach der Aktualisierung eines LoadMaster auf LMOS Version 7.2.61.0 sind das Panel „WAF-Optionen (Legacy)“ und seine Funktionen und Optionen nicht mehr für neue oder bestehende virtuelle Dienste verfügbar, einschließlich virtueller Dienste mit der vor der Aktualisierung aktivierten Funktion „Legacy WAF“.
Für bestehende virtuelle Dienste mit aktivierter Legacy WAF-Funktion wird stattdessen automatisch die Ersatzfunktion „OWASP CRS WAF“ aktiviert und eingeführt.
- Beispiel für einen betroffenen "Legacy WAF"-Dienst:
- Beispiel für einen nicht betroffenen "OWASP CRS WAF"-Dienst:
Wie führt man das Update durch?
Bevor ein LoadMaster auf die LMOS Version 7.2.61.0 aktualisiert werden kann, wird Ihnen ein Warnfeld angezeigt mit Hinweisen zur Entfernung von der Legacy-WAF-Funktion.
Auf einem LoadMaster, auf dem ein oder mehrere „Legacy WAF“-Dienste verwendet werden, werden die betroffenen virtuellen Dienste in einem Dialogfeld vor dem Update wie folgt aufgelistet:
Wir empfehlen Ihnen dringlichst vor der Durchführung des Updates ein System-Backup zu vollführen. Dies ist besonders wichtig für Systeme, die die Legacy-WAF-Funktion verwenden.
Angenommen, es sind benutzerdefinierte „Legacy WAF“-Regeldateien oder benutzerdefinierte Regeldatendateien vorhanden (navigieren Sie in der Web-Benutzeroberfläche zu Web Application Firewall > Custom Rules). In diesem Fall ist es unerlässlich, sie zur sicheren Aufbewahrung herunterzuladen, da sie nach dem Update nicht mehr verfügbar sein werden.
Warum passiert das?
Das Legacy-WAF-System bot Schutz mithilfe eines kommerziellen Sets von Sicherheitsregeln eines Drittanbieters für Sicherheitsregeln. Die Implementierung dieses Regelsatzes begann im August 2021 mit einem End-of-Life-Prozess und endete im Juli 2024. Die Einbindung wird nun nicht mehr unterstützt, weshalb es keine weiteren Updates oder Sicherheitskorrekturen gibt. Dies bedeutet wiederrum, dass der Regelsatz für den fortlaufenden Einsatz in einer ernsthaften Sicherheitsfunktion ungeeignet ist.
Im April 2021 wurde mit LMOS Version 7.2.54.0 eine Ersatz-WAF-Lösung, namens „OWASP CRS WAF“, hinzugefügt, um eine nachhaltige, langfristige WAF-Sicherheitslösung für LoadMaster-Benutzer bereitzustellen. Diese neue WAF-Lösung verwendet OWASP CRS, einen weit verbreiteten, branchenüblichen, kostenlosen Open-Source-WAF-Regelsatz. Die bekannte OWASP Foundation entwickelt ihn aktiv und transparent und ist keinen kommerziellen Interessen verpflichtet, wodurch diese Option als eine langfristige und widerstandsfähige Wahl gekennzeichnet ist.
Sicherheitsvorteil für LoadMaster-Benutzer
Das bald eingestellte Legacy-WAF-System hat bisher ein Set von Sicherheitsregeln verwendet, das hauptsächlich dazu verfasst wurde, bestimmte und bekannte Schwachstellen und Nutzlasten zu erkennen. Dieser Ansatz ist insofern einschränkend, als er auf Folgendem beruht:
- Spezifische und neu geschriebene Regeln zur Erkennung jeder neuen Schwachstelle
- Rechtzeitige Aktualisierungen auf der Grundlage des Regelsatzes durch kontinuierliche Veröffentlichungen des Anbieters
- Sofortige Beschaffung von LoadMaster-Daten und Anwendung der neuesten Regelsatzdateien
Im Gegensatz dazu verwendet das neuere Ersatzsystem OWASP CRS WAF einen generischen Regelsatz, um Datenverkehr basierend auf anomalen und böswillig aussehenden Aktivitäten zu erkennen und zu reduzieren. Dank seiner generischen Natur kann es zahlreiche Angriffe erkennen, darunter Angriffe der OWASP Top 10-Angriffskategorien, Zero-Day-Schwachstellen und sogar unbekannte Exploits. Dies ist möglich, weil völlig neue und originelle Angriffe selten sind. Neue Angriffe ähneln in der Regel anderen Angriffsklassen. Infolgedessen lösen neue Angriffe Sicherheitsregeln aus, die zur Erkennung ungewöhnlicher Aktivitäten zugeschrieben wurden.
Weitere Ratschläge für aktuelle Legacy-WAF-Nutzer
Nutzer können vorhandene Legacy-WAF-Dienste konvertieren, um OWASP CRS WAF vorläufig zu ersetzen, bevor die LMOS 7.2.61.0 Aktualisierung durchgeführt wird. Dadurch bleibt genügend Zeit, um die neue WAF-Funktionalität für jede Webanwendung nach Bedarf anzupassen und zu konfigurieren (weitere Informationen zu diesem Prozess finden Sie in der LoadMaster-Dokumentation).
Wenn benutzerdefinierte Legacy-WAF-Regeln vorhanden sind, können diese manchmal im neuen WAF-System wiederverwendet werden:
- Benutzerdefinierte Regeln, die bestimmte Erkennungen durchführen (z. B. das Suchen und Blockieren einer bestimmten Nutzlast, das Blockieren bestimmter IP-Adress-Subnetze usw.), sollten ohne Änderungen wiederverwendbar sein.
- Benutzerdefinierte Regeln, die Regelausschlüsse durchführen, sind nicht wiederverwendbar, da die „Legacy WAF“-Regeln und die Regel-ID-Nummern, auf die sie sich beziehen, entfernt wurden.
- Benutzerdefinierte Regeln, die bestimmte Erkennungen durchführen (z. B. das Suchen und Blockieren einer bestimmten Nutzlast, das Blockieren bestimmter IP-Adress-Subnetze usw.), sollten ohne Änderungen wiederverwendbar sein.
- Benutzerdefinierte Regeln, die Regelausschlüsse durchführen, sind nicht wiederverwendbar, da die „Legacy WAF“-Regeln und die Regel-ID-Nummern, auf die sie sich beziehen, entfernt wurden.
Wenden Sie sich jederzeit an unser professionelles Serviceteam , um eine persönliche Beratung zu benutzerdefinierten WAF-Regeln zu erhalten.