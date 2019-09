Bot-Erkennung am Gateway

Ergon Informatik kündigt einen neuen Release seiner Airlock Web Application Firewall (WAF) an. Die Version 7.3 baut den bestehenden Schutz um eine Bot-Detection aus, erweitert die API-Gateway-Funktionen und verbessert die Cloudunterstützung. Hinzu kommen Security Level für Logging, um die Integration von Blacklist-Regeln zu vereinfachen.

Die Abwehr von bösartigen Bot-Anfragen erfolgt mit der Airlock WAF [1] nun auf zwei Arten: Auf eine dynamische, interne IP-Blacklist geraten IP-Adressen, wenn sie innerhalb eines frei konfigurierbaren Zeitfensters zu viele bösartige Anfragen schicken. Sie werden daraufhin über einen gewissen Zeitraum blockiert, was Sand ins Getriebe automatisierter Angriffs-Tools, wie etwa sqlmap, streut.



Als zweite Möglichkeit kann vom Client verlangt werden, dass er Cookie Handling unterstützt, wodurch viele automatisierte Scripts und Botnet Clients ausgeschlossen werden. Um keine gutartigen Bots, wie Suchmaschinen, abzulehnen, stehen umfangreiche Möglichkeiten zur Verfügung, wie die Prüfung des User Agents oder der Domain hinter den Bots mit Hilfe von IP Reverse Lookup. Diese neuen Features ergänzen den mit Version 7.2 eingeführten Service, Webroot Threat Intelligence, der auf eine globale Echtzeit-Datenbank bösartiger IP-Adressen zurückgreift.



Der Airlock API Gateway ist nun in der Lage die ID von technischen Clients, wie Mobile Apps oder SPAs, aus JSON Web Tokens auszulesen. Die Client IDs werden in die Logs geschrieben, um Ereignisse, wie Sicherheitsvorfälle, eindeutig einem Client zuordnen zu können. Außerdem kann der Airlock API Gateway nun einzelne Pfadsegmente, anstatt des gesamten Pfades, gegen die festgelegten Regeln prüfen.



Außerdem verbessert die Version 7.3 die Cloudunterstützung, wodurch das Airlock Cloud Image, neben Amazon Web Service und Google GCP, auch kompatibel zu Microsoft Azure ist. Mit wenigen Kicks lässt sich die Airlock Sicherheitslösung damit in einer Public Cloud aktivieren. Bestehende Lizenzen können zudem für den Betrieb in der Google Cloud benutzt werden (BYOL). Der API-Gateway geht auch hier den Weg der Digitalisierung mit und fügt dem REST API einige Endpunkte hinzu, um den Cloud-Betrieb zu erleichtern. Darunter fallen Nodes, Routes, Network Services, Lizenz-Verwaltung und Session Settings. Der Status von Back-end Hosts wird ebenfalls ausgelesen.



Die Security-Levels "Basic", "Standard" und "Strict" erlauben es, das Sicherheits-Niveau schnell und einfach anzupassen. Für die Blacklist Regeln lassen sich nun zwei Level auswählen, getrennt nach Enforcement der Richtlinien und Logging der Ereignisse. Letzteres ermöglicht ein Policy Learning und Testen eines Security Levels, bevor es tatsächlich über Enforcement durchgesetzt wird. Das macht sich bezahlt, wenn alte Regeln durch die neuen Levels ersetzt werden, aber ohne Lücken übernommen werden sollen. Die laufende Applikation wird bei den Testläufen nicht beeinträchtigt.



Weitere Verbesserungen runden das große WAF-Paket 7.3 ab, wie die Unterstützung von SNMPv3, einfache Konfiguration von http und JSON Limits, Mapping Templates für MS Exchange 2019 und Sharepoint 2019, Unterstützung für Kerberos-Cross-Domain-Szenarien und ein großes Update von Elasticsearch und Kibana.