ZieleDie Seminarteilnehmer bekommen einen umfassenden, praxisbezogenen Überblick über die Technik der Web Application Firewall, ihre Möglichkeiten und ihre Grenzen. Sie werden in die Lage versetzt, , die technischen Eigenschaften der verschiedenen, am Markt befindlichen Produkte zu bewerten und deren Einsatzmöglichkeiten in der jeweiligen Infrastruktur zu beurteilen sowie den Aufwand für deren Konfiguration und Betrieb abzuschätzen.
AnforderungenAllgemeine Netzwerkkenntnisse, Grundkenntnisse HTTP, Kenntnisse von regulären Ausdrücken sind von Vorteil.
InhaltWebanwendungen schützt man zeitgemäß durch eine Web Application Firewall (WAF). Diese ist in der Lage, die Webanwendung vor Angriffen wie Cross-site-Scripting, SQL-Injection - um nur zwei populäre Beispiele zu nennen – , zu schützen. Bei der Erwägung des Einsatzes im eigenen Unternehmen steht man schnell vor Fragen, die sich aus dem Erfahrungshintergrund als Netzwerker oder Systemadminstrator nicht mehr beantworten lassen. Das Zusammenwirken von Netzwerktechnik, Webtechnologien, Softwaretechnik und der komplexe Bereich der Schwachstellen und Angriffstechniken erfordern eine gehörige Portion Grundwissen über den Tellerrand des eigenen Spezialisierungsgebietes hinaus.
Dieses Seminar vermittelt dieses Wissen auf sehr praxisorientierte und kompakte Weise. Es versetzt den Teilnehmer in die Lage, die Möglichkeiten und Grenzen von Web Application Firewalls sowie ihren Einsatz im Reigen alternativer Maßnahmen zur Herstellung von Webanwendungssicherheit beurteilen zu können und die Eigenschaften der am Markt erhältlichen Produkte zu bewerten.
Das Seminar stützt sich auf den OWASP Best Practices Guide zum Einsatz von Web Application Firewalls, den der Referent mit verfasst hat, sowie die OWASP Web Application Firewall Evaluation Criteria. Als Beispiel einer WAF wird das OpenSource-Produkt ModSecurity, welches derzeit die meisten produktiven Installationen besitzt, verwendet.
Abschnitt 1:
* Von Filterfunktion bis Url-Verschlüsselung: die Funktionen einer WAF
* Die WAF als Serviceprovider für Sicherheit
* Übersicht zu den Entscheidungskriterien für oder gegen eine WAF
* Überblick über Schwachstellen und Angriffstechniken: Wo zeigt die WAF ihre Stärken und wo versagt sie.