Reverse Proxy
Ein Proxy-Server, der Daten im Namen eines Client bei einem oder mehreren Servern bezieht. Diese Daten werden dann zum Client geschickt, als ob sie direkt vom Reverse Proxy selber stammten. Reverse Proxies werden verwendet, um die typischen Funktionalitäten einer Web Application Firewall zu erreichen: SSL-Terminierung, vorgelagerte Authentisierung, Multilevel-Filterung sowie Load-Balancing.
Multi-Level Filterung
Filterung der Anfragen an eine Webapplikation über mehrere Stufen für maximale Sicherheit und bei maximaler Benutzerfreundlichkeit bei der geschützten Webapplikation. Airlock erlaubt Filterung über sechs Stufen:
1. Blacklist-Filterung
2. Statische Whitelist-Filterung
3. Dynamische Whitelist-Filterung
4. Filterung strukturierter Daten (XML, SOAP, AMF)
5. Malware-Filterung (ICAP)
6. Anwendungsspezifische Filterung
Dynamische Whitelist Filterung
Eine Reihe von Whitelist-Filtermassnahmen, welche zur Laufzeit der Applikation erzeugt und so den Begebenheiten laufend angepasst werden. In Airlock wird die dynamische Whitelist-Filterung durch URL-Verschlüsselung, Smart Form-Protection, Cookie Protection sowie vorgelagerte Authentisierung erreicht.
URL-Verschlüsselung
Eine Dynamische Whitelist Filterungsmethode zur Verhinderung von Forceful Browsing: Webadressen der Applikation werden verschlüsselt an den Client weitergereicht. So kann verhindert werden, dass ein Angreifer durch Modifikation der Adresse Zugang zu unzureichend geschützten Teilen der Applikation erhält. Topologie der Applikation und die verwendete Technologie (z.B. PHP) sind damit ebenfalls nicht erkennbar.
Smart Form Protection
Eine Dynamische Whitelist-Filterungsmethode, die vor Formular-Modifikationen schützt. Wenn aktiviert, können Drop-Down-Menus, versteckte Felder sowie weitere definierte Form-Eigenschaften auf der Client-Seite nicht mehr unbemerkt verändert werden. Der Server ist zudem davor geschützt, dass zusätzliche, unerwünschte Formularfelder eingeschleust werden.
Cookie Protection
Eine Dynamische Whitelist-Filterungsmethode, welche einerseits die Anwender einer Webapplikation vor unberechtigtem Zugriff auf Cookie-Inhalte schützt, andererseits aber auch die Applikation selber vor Modifikation von Cookie-Inhalten: Die Cookies der Applikation werden in der Web Application Firewall in einem sogenannten Cookie Store gespeichert und gelangen per default nie bis zum Client. Es besteht jedoch die Möglichkeit, Cookies dynamisch verschlüsselt zum Client durchzureichen. Diese Verschlüsselung verhindert eine Cookie-Manipulation.
Content Rewriting
Ein Schutz vor unabsichtlichem Informationsfluss nach aussen: Fehler- und Statusmeldungen, welche einem Hacker wichtige Hinweise für weitere Angriffe geben, werden ausgefiltert und in neutrale Meldungen umgewandelt. Diese Funktionalität erlaubt auch, sensible Daten wie z.B. Kreditkartennummern zu maskieren und somit vor versehentlicher Darstellung in einer Applikation zu schützen.