Synit WAF
Fehlersuche
Praktische Fehlersuche für Synit WAF: Traffic-Fluss, Tenant-Zuordnung, Audit Mode, Blocking, APIs, GraphQL, LLM-Schutz, TLS, Monitoring und Support.
Fehlersuche
Diese Anleitung hilft bei typischen Rollout- und Betriebsfragen. Teilen Sie keine Secrets, Produktzugangsdaten, Tokens, privaten Schlüssel oder unbereinigten Sicherheitslogs in öffentlichen Tickets oder Chat-Tools.
Erste Prüfung bei jedem Problem
- WAF-Prozess oder Container läuft.
- Erwartete Konfiguration wird geladen.
- DNS zeigt auf den richtigen Einstiegspunkt.
- Upstream ist aus der WAF-Umgebung erreichbar.
- Logs und Metriken sind aktiv.
- Domain läuft bewusst im Audit Mode oder Blocking Mode.
- Hostname passt zum konfigurierten Tenant.
Schnelle Laufzeitprüfung:
curl -sS http://127.0.0.1/healthz
curl -sS http://127.0.0.1/readyz
Wenn Metriken aktiviert sind:
curl -sS http://127.0.0.1/metrics
Anwendung lädt nicht
Prüfen:
- Domainname in der Anfrage entspricht dem Tenant.
- Upstream-URL ist aus der WAF-Laufzeitumgebung erreichbar.
- Upstream-Dienst hört auf dem erwarteten Port.
- Firewall und Security Groups erlauben Traffic von WAF zu Upstream.
- TLS-Terminierung ist wie geplant.
- Load-Balancer-Health-Checks nutzen einen gültigen Pfad.
Nützlicher Test:
curl -H "Host: app.example.test" http://127.0.0.1/
Erwarteter Block passiert nicht
Prüfen:
waf_enabledisttrue.- Die Domain bindet das erwartete Regelprofil ein.
- Die Anfrage erreicht den richtigen Tenant.
- Die Regel passt zu Pfad, Header, Body oder Methode.
audit_modeist nicht weiterhin aktiv.
Im Audit Mode werden auffällige Anfragen geloggt, aber nicht blockiert.
Legitime Nutzer werden blockiert
Vorgehen:
- Zeitstempel, Domain, Pfad und Nutzerwirkung erfassen.
- Sicherheitsereignis in Logs suchen.
- Betroffene Domain bei hoher Wirkung zurück in Audit Mode setzen.
- Ursache prüfen, bevor eine Ausnahme ergänzt wird.
- Exakten Nutzer-Workflow erneut testen.
Vermeiden Sie breite Allow-Lists. Ausnahmen sollten eng und fachlich begründet sein.
Zu viele Sicherheitsereignisse
Häufige Ursachen:
- Scanner treffen öffentliche Pfade.
- Bots prüfen CMS- und Adminpfade.
- Alte API-Clients senden unerwartete Parameter.
- Testwerkzeuge erzeugen auffällige Requests.
- Profil ist für den ersten Rollout zu streng.
- Paranoia-Level wurde erhöht, ohne neue False Positives zu prüfen.
- API- oder CMS-Profil trifft auf nicht passende Anwendungspfade.
Empfohlen:
- Ereignisse nach Domain, Pfad und Regel gruppieren.
- Echten Nutzer-Traffic von Scannern trennen.
- Laute Scanner-Blocks beibehalten, wenn keine Nutzerwirkung entsteht.
- False Positives zuerst im Audit Mode tunen.
- Regelprofil, Paranoia-Level und letzte Regeländerung notieren.
API- oder GraphQL-Clients schlagen fehl
Prüfen:
- Token-Prüfung passt zum Identity Provider.
- JWKS-Endpunkt ist aus der WAF-Umgebung erreichbar.
- Rate Limits berücksichtigen Batch- und Retry-Verhalten.
- GraphQL-Tiefe und Batch-Grenzen passen zur echten Client-Nutzung.
- Content-Type und Methodenregeln blockieren keine gültigen Clients.
- Strenge API-Profile passen zu Uploads, Webhooks und Form-Posts.
LLM-Endpunkte erzeugen zu viele Treffer
Prüfen:
- Richtige Pfade stehen in
inspect_paths. - Richtige JSON-Felder stehen in
inspect_json_fields. - Regel läuft zuerst mit
action: "audit". - Echte Nutzerprompts sind von Tests oder Red-Team-Prompts getrennt.
- Blocking ist fachlich freigegeben.
LLM-Schutz sollte nicht ohne Prüfung produktiver Prompts auf deny gestellt werden.
Länder- oder IP-Regeln treffen gültige Nutzer
GeoIP und IP-Regeln können VPNs, Remote Worker, Mobilfunknetze und Support-Dienstleister betreffen.
Vor Durchsetzung:
- fachlichen Grund prüfen
- Support- und Betriebsteams testen lassen
- Ausnahmen dokumentieren
- erste Produktionsstunden beobachten
Rate Limits greifen zu früh
Prüfen:
- normale Spitzenlast
- Browser-Assets
- API-Batching
- Monitoring und Health Checks
- NAT- oder Proxy-Situationen mit vielen Nutzern hinter einer IP
Passen Sie Limits pro Domain an, statt globale Werte unnötig zu lockern.
TLS- oder Zertifikatsprobleme
Prüfen:
- DNS zeigt auf den erwarteten Einstiegspunkt.
- Domaininhaberschaft ist für Zertifikatssetup bereit.
- Alte Proxy- oder CDN-Einstellungen widersprechen dem neuen Pfad nicht.
- Zertifikatsspeicher ist persistent, falls erforderlich.
- Systemuhren sind korrekt.
Bei Managed-Service-Rollouts synit.io kontaktieren, bevor DNS mehrfach geändert wird.
Produktzugang oder Abonnement
Prüfen:
- Zugangswerte sind im Deployment vorhanden.
- Secrets wurden nicht abgeschnitten oder falsch escaped.
- Deployment nutzt das aktuelle Handoff-Paket.
- Laufzeit kann erforderliche Produkt-Endpunkte erreichen.
Veröffentlichen Sie keine Produktzugangsdaten. Kontaktieren Sie synit.io mit Kundenname, betroffener Domain, Deployment-Modell und Zeitstempeln.
Angaben für eine Supportanfrage
Angeben:
- betroffene Domain
- Managed oder Self-Hosted
- Zeitfenster und Zeitzone
- erwartetes Verhalten
- tatsächliches Verhalten
- aktiver Audit- oder Blocking-Modus
- bereinigte Log-Auszüge
- letzte Konfigurationsänderungen
- aktive Regelprofile und Paranoia-Level
- Image-Tag oder Release-Version
Nicht angeben:
- Produktzugangsdaten
- Tokens
- Passwörter
- private Schlüssel
- vollständige Kundendatenexporte