Airlock WAF 6

Der neue Major Release Airlock WAF 6 bedeutet einen grossen Fortschritt für den Schutz von modernen Web-Applikationen und die Benutzerfreundlichkeit!

Airlock WAF 6 wurde am 24.3.2016 veröffentlicht und steht für unsere Kunden auf der Techzone zum Download bereit!

Schutz von modernen Webapplikationen

Airlock WAF 6 baut die Sicherheit von modernen Webapplikationen weiter aus: Mit dem neuen Release wird das WebSocket-Protokoll unterstützt. Dies erlaubt es, WebSocket-Applikationen mit einer Reverse-Proxy-Architektur und zentraler vorgelagerter Authentifizierung zu schützen. Zudem adaptiert Airlock WAF 6 erfolgreich dynamische Whitelisting Konzepte auf die nächste Generation von Webtechnologien. Erfahren Sie mehr darüber, wie die neuen JavaScript-CSRF-Tokens AJAX-Applikationen schützen und wie Dynamic Value Endorsement, eine Art Form-Protection für REST APIs, funktioniert.

Benutzerfreundlichkeit und einfache Konfiguration

Airlock WAF 6 enthält einen brandneuen Learning Mode, der automatisch Konfigurationsvorschläge generiert. Mit einem einzigen Klick können diese Vorschläge akzeptiert werden – einzeln oder alle zusammen. Zusätzlich ermöglicht Airlock WAF 6 die Fehlersuche in verschlüsselten Verbindungen und bringt ein vollständig integriertes Kerberos-SSO. Die Installation des zusätzlichen Kerberos-Agents wird damit hinfällig, was den Betrieb von Kerberos-SSO erheblich vereinfacht.

Policy Learning

Der neue Learning Mode von Airlock WAF 6 vereinfacht die Integration und den Betrieb von Applikationen massgeblich. Die WAF analysiert blockierte Requests und generiert automatisch Konfigurationsvorschläge, welche vorhandene Probleme beheben können. In einem zentralen Dashboard können Administratoren die Events und Konfigurationsvorschläge einsehen und prüfen. Mit einem einzigen Klick können die Vorschläge einzeln oder kollektiv übernommen werden. Die kollektive Übernahme der Vorschläge bietet sich beispielsweise für Zugriffe von einem vertrauenswürdigen Netzbereich an.

 

 

 

WebSocket-Support

Das WebSocket-Protokoll erweitert HTTP und erlaubt bidirektionale Verbindungen zwischen einem Webserver und einem Webclient. WebSocket wird ab Airlock WAF 6 unterstützt, da es immer mehr Verbreitung in Web-Frameworks findet. Damit profitieren WebSocket-Applikationen vom Schutz einer Reverse-Proxy-Architektur, dem sicheren Session-Management von Airlock WAF und den Vorteilen einer zentralen vorgelagerten Authentifizierung.

 

 

CSRF Token

Airlock WAF bot schon immer umfassenden Schutz gegen CSRF/XSRF-Angriffe und zwar mit der Möglichkeit URLs zu verschlüsseln. Mit dem Aufkommen dynamischer Applikationen, die URLs  mit JavaScript auf dem Client zusammensetzen, wird dieser Ansatz jedoch aufwändiger und erfordert diverse Ausnahmen. Die neuen JavaScript-CSRF-Token von Airlock WAF 6 setzen genau hier an und sind für den Einsatz in  AJAX Applikationen gebaut. 

 

 

Integriertes Backside-Kerberos-SSO

Kerberos ist eine beliebte Single Sign-on-Technologie in Microsoft-Umgebungen. Im Zusammenspiel mit Airlock IAM unterstützt Airlock WAF das transparente Generieren und Weiterleiten von Kerberos Tickets im Namen des Benutzers. Dies führt zu einem nahtlosen SSO-Erlebnis. Die Unterstützung für Backside-Kereberos-SSO wurde in Airlock WAF 6 komplett neu entwickelt. Statt auf einen zusätzlichen Kerberos-Agent in der Windows Domäne aufzusetzen, ist die Kerberos Funktionalität nun vollständig in Airlock WAF integriert und kann einfach über das Configuration Center administriert werden.

 

 

 

     

 

 

 

Dynamic Value Endorsement (DyVE)

Airlock WAF hat eine lange Tradition bei der Förderung von dynamischen Whitelisting-Funktionen wie URL-Verschlüsselung, dem Cookie Store, Smart Form Protection oder ADAPS. Das  Ziel von dynamischem Whitelisting ist, implizit das API einer Applikation zu erlernen und automatisch die korrekte Benutzung dieses APIs von Webclients einzufordern. Damit entfällt die mühselige und fehleranfällige manuelle Konfiguration der WAF.

Mit der Verbreitung von wenig standardisierten Technologien wie JSON oder REST werden solche impliziten APIs seltener. Um dennoch dynamisches Whitelisting machen zu können, führt Airlock WAF 6 ein neues Feature namens Dynamic Value Endorsement (DyVE) ein. Mit DyVE ist es möglich, JSON-Objekte, die von Backends ausgeliefert werden, dynamisch nach Werten zu durchsuchen, die für die aktuelle Benutzersession zulässig sind. Parameter oder JSON-Attribute von nachfolgenden Requests (z.B. von REST-API-Aufrufen) können dann auf die Verwendung von zulässigen Werten überprüft werden. Ein einfaches Beispiel sind Online-Banking-Transaktionen. Mittels DyVE kann man auf Airlock WAF erzwingen, dass übermittelte Transaktionen lediglich Konten belasten, die vorgängig vom Banking-Server zur Auswahl gestellt wurden.

 

 

 

 

 

 

 

 

 

 

Fehlersuche bei verschlüsselten Verbindungen

Verbindungsprobleme mit SSL/TLS sind schwierig zu analysieren, da man nicht auf die verschlüsselten Inhalte zugreifen kann. Um die Ursachen herauszufinden muss daher oft die Verschlüsselung entfernt werden.  Dies bedeutet wiederum Anpassungen von Firewall-Regeln oder Zugriffsrichtlinien (z.B. wenn Client-Zertifikate verwendet werden).  Darüber hinaus kann das Entfernen von SSL/TLS gleichzeitig das zu beobachtende Problem als Seiteneffekt auflösen. Airlock WAF 6 bietet neu integrierte Tools, welche die direkte Analyse von verschlüsselten Verbindungen sowohl am Client wie auch in Richtung Backend ermöglichen.

 

 

 

Unterstützung für OCSP und OCSP-Stapling

Die Sicherheit von SSL/TLS beruht auf der Vertrauenswürdigkeit der Zertifikate. OCSP (Online Certificate Status Protocol) hat diverse Vorteile gegenüber CRLs (Revozierungslisten für Zertifikate) und erlaubt eine interaktive Überprüfung von Server- und Client-Zertifikaten bei der ausstellenden CA. Mit OCSP-Stapling wird die PKI-Infrastruktur durch Anhängen einer signierten OCSP-Antwort direkt im Zertifikat entlastet. OCSP wird von einer steigenden Zahl an Browsern unterstützt und verbessert die Gesamtsicherheit von SSL/TLS.