Produkte

Übersicht rWeb sProxy rFTP Appliances Technologie Überblick Scoring List UBT Offen Architektur

News

V. Rasneur (from the R&D team) won the development contest organized by Hex-Rays

Deny All nahm am WAF-Roundtable der Messe “it-sa” teil

Deny All releases a patch against Slowloris, an attack against Web servers

rWeb 3.8 evaluated by SIC Laboratory

Technologie Überblick

Web-Applikationssicherheit

Die von den Sicherheitsexperten von Deny All entwickelten leistungsstarken Technologien können zur Bewältigung sämtlicher webbasierten Applikationssicherheitsprobleme eingesetzt werden.

Protokollüberprüfung und Kanonisierung

Einige Angriffe verwenden das HTTP-Protokoll in unkorrekter Weise. Die Protokollüberprüfung gewährleistet, dass die eingehenden Abfragen mit dem Protokoll übereinstimmen. Die Kanonisierung wird zum Schutz vor Angriffen verwendet, die versuchen auf Ressourcen zuzugreifen, auf die nicht zugegriffen werden darf, z. B. Directory Traversal.

Anti Evasion

Hacker verschlüsseln oft ihre Angriffe, um die Applikationsfilterung zu umgehen. Deshalb ist es erforderlich, die Abfragen vor dem Filtern zu entschlüsseln. rWeb ist konfigurierbar und entschlüsselt sie bis ins Detail.

Anti DoS

Wenn bestimmte dynamische Seiten aufgerufen werden, beanspruchen diese in hohem Maße die Ressourcen von Applikationen oder Datenbankservern. Das Verhaltensanalyse-Modul reagiert auf dieses Problem, indem es den Ursprung der Abfrage mit der Anzahl der Aufrufe in Beziehung setzt. Die Abfragen dieser Quellen werden blockiert, sobald sie oberhalb eines bestimmten Schwellenwerts liegen.

Die Black List

Täglich werden in WEB-Applikationen neue Sicherheitslücken entdeckt.
Diese Sicherheitslücken werden in Form von Signaturen in die Black List aufgenommen.
Wenn eine Abfrage einer solchen Signatur entspricht, wird sie geblockt.
Die Sicherheit darf jedoch nicht zu Lasten des Benutzerverhaltens gehen. Deshalb hat Deny All eine Black List mit Gruppen eingerichtet, die verwendet werden kann, um Abfragen unter bestimmten Bedingungen zu analysieren, wodurch Ressourcen nicht unnötig Inanspruchnahme genommen werden.
Deny All verfügt über ein eigenes Team: das „DARC“ (DenyAll Research Center), das für die Ergänzung und Aktualisierung der Black List verantwortlich ist.
Die Black List ist von vornherein implementiert und erfordert keine Lernphase.

Die Scoring List

Zahlreiche Angriffe basieren auf Programmierungs- oder Befehlssprachen. Diese Angriffe variieren strukturell und können mit Hilfe der Black List nicht effektiv identifiziert werden.
Zur Lösung dieses Problems hat Deny All die Scoring List entwickelt, die auf die mehr als 10-jährige Erfahrung und Forschung im Bereich der Applikationsfilterung zurückgreifen kann.
Die Scoring List ist von vornherein implementiert und erfordert keine Lernphase.

Die White List

Die White List erhöht das Sicherheitslevel, indem sie den normalen Rahmenparameter für die Nutzung der WEB-Applikation definiert. Sie verifiziert die Integrität des Austausches zwischen Client und Server und überprüft die Konformität der Aufrufe für statische und dynamische Seiten sowie die Parameter.
rWeb definiert für die White List vier Sicherheitsstufen. Diese korrespondieren mit einem „Sicherheitslevel-/Verwaltungskomplexität“-Verhältnis auf einer Skala, die von der Strengsten, bei dem alle Elemente der Abfrage überprüft werden, bis zur „Allgemeinen“ verläuft, bei der die Erweiterung der aufgerufenen Seiten lediglich verifiziert wird.
Die White-List-Regeln, die für jede Applikation angepassten werden, werden mit Hilfe des Site-Scanners „Scanweb“ und des „Rules Wizard“ automatisch generiert.
Scanweb analysiert alle Nutzungsmöglichkeiten der Applikation, einschließlich der Applikationen, die JavaScript verwenden, während der Rules Wizard automatisch die Filterregeln generiert.

Statefull Tracking

Web-Applikationen senden „Session“-Informationen an den Browser, um während der Verbindung Datenpersistenz zu gewährleisten. Dies kann in Form von Cookies oder in Form von auf der Webseite verborgenen Daten erfolgen.
Einige Angriffe versuchen die Daten zu modifizieren, um die Funktionsweise der Applikation zu verändern.
rWeb verwendet einen Überwachungs- und Verifizierungsmechanismus, um die Art der Bedrohung zu erkennen und zu blockieren.

Anti brute force

Hacker verwenden leicht zu implementierende Tools, die automatisierte Authentifizierungsversuche generieren. Diese Tools verwenden Wörterbücher oder String-Generatoren, um das Passwort des Benutzers herauszufinden.
Das User-Behaviour-Tool erkennt diese Versuche und blockiert die Abfragen des Angreifers.

Upload-Kontrolle

Bestimmte Applikationen fordern den Benutzer auf, Dateien hochzuladen.
In diesem Fall muss eine Anti-Virusprüfung durchgeführt werden (lokal oder via ICAP), bevor die Datei zur WEB-Applikation hochgeladen wird.

Ausgehnender Filter

Applikationen liefern teilweise in ihren Fehlerseiten sensible Informationen, die für Benutzer nicht zugänglich sein sollten. Diese Informationen ermöglichen es Hacker, solche Daten zu erhalten, um Angriffsperimeter zu definieren.
Darüber hinaus ist es wichtig, dem Verlust von sensiblen Daten, wie z. B. Kreditkartennummern, vorzubeugen (PCI-DSS). Ausgehende Filtermechanismen bieten für diese Probleme eine Lösung.

Virtual Patching

Sicherheitsaudits auf WEB-Applikationen können die Sicherheitslücken von Applikationen aufzeigen, die manchmal nicht von positiven oder negativen Sicherheitsmodulen abgedeckt werden können, darunter sich horizontal ausbreitende Schwachstellen.
Das User-Behaviour-Tool wird hierbei verwendet, um einen virtuellen Patch-Upstream auf den Reverse-Proxy auszuführen und die Sicherheitslücke sofort zu schliesen. Damit wird der Fehler sofort korrigiert, so dass die Systementwickler ausreichend Zeit erhalten, um die Sicherheitslücke eingehend zu analysieren und zu schließen.

Anwendungsperformance

“Die Sicherheit darf nicht zu Lasten der Benutzerfreundlichkeit gehen.”

Cache

rWeb bietet Cache-Funktionen für die statischen Elemente von Webseiten (Grafiken, verankerte Texte etc.). Dadurch werden Server-Ressourcen freigegeben bzw. eingespart

SSL

Webserver werden von SSL-Prozessen entlastet, die grosse CPU-Ressourcen benötigen.

TCP multiplexing

TCP-Multiplexing reduziert die Anzahl der von einem Server zu verarbeitenden Verbindungen und gibt dadurch Ressourcen für andere Prozesse frei.

Komprimierung

Die automatisierte Komprimierung wird verwendet, um die Größe der zurückgesendeten Seiten zu reduzieren. Hieraus resultieren Bandbreitenzuwächsen und einer Reduzierung der Übertragungsrate.

Load Balancing

Um hohes Datenaufkommen und Benutzerzahlen bewältigen zu können, ist eine skalierbare Infrastruktur von besonderer Bedeutung. Die Load-Balancing-Funktion erfüllt diese Anforderung und sorgt somit für eine höhere Service-Verfügbarkeit.
Auf jedem Server wird ein Health Check vorgenommen, um eine Liste der verfügbaren Server zu führen. Der Test kann bis zur Stufe 7 (Einlesen eines vorgegebenes Wertes einer Seite) ausgeführt werden.
Die SLB (Server Load Balancing) verteilt den Datenfluss unter Verwendung von Algorithmen (Round-Robin, Anzahl der Abfragen oder Gewichtung abhängig von den Server-Reaktionszeiten) und verwendet einen Persistenzmechanismus, um sicherzustellen, dass eine Session auf einem einzelnen Server verbleibt.

Sicherheit der Architektur

“Eine Application-Firewall erhöht auch das Sicherheitslevel der Infrastruktur.”

Reverse Proxy

Die Reverse-Proxy-Technologie erhöht das Sicherheitslevel durch Protokoll-Unterbrechung und Virtualisierung der Applikationsinfrastruktur. Da alle Web-Datenflüsse gefiltert und analysiert werden, können sie außerdem sicher zu jedem Punkt der Infrastruktur gesendet werden.

Multi DMZ

Der Multi-DMZ-Modus erhöht das Sicherheitslevel der Infrastruktur durch Aufteilung der beiden rWeb-Komponenten in zwei verschiedene DMZs. Die Beschleunigung erfolgt in der öffentlichen DMZ, das Filtern und die Authentifizierung in der privaten DMZ. Diese Aufteilung wird verwendet, um die Web-Applikationen und Datenbanken im Zentrum der IT-Struktur zu halten und somit eine weniger restriktive Nutzung der WEB-Applikationen und Datenbanken zu ermöglichen.

Diode Mode

Die Filterkomponente in der privaten DMZ bearbeitet nur Abfragen in der öffentlichen DMZ, jedoch nicht umgekehrt. Dies bedeutet, dass nur eine Firewall-Regel benötigt wird, um die Verbindungen von der öffentlichen DMZ zur privaten DMZ zu autorisieren, wobei die private DMZ in Bezug auf die öffentliche DMZ komplett abgeschottet wird.

Hochverfügbarkeit

Unsere Appliance-Lösungen verfügen über Hochverfügbarkeitsmechanismen, die selbst bei einem Hardware-Fehler die Service-Verfügbarkeit gewährleisten.