Barracuda Web Application Firewall

DDoS-Schutz und Sicherheit vor automatisierten und gezielten Angriffen

Umfassende Schutz für kritische Applikationen

Bei hunderten Zeilen von zu prüfenden Code und Sicherheitslücken, die häufig raffiniert und schwer zu finden sind, ist oft erst ein schwerer Zwischenfall das erste Zeichen dafür, dass bei einer Web-Applikation Probleme vorliegen. Seit 2008 hat die Barracuda Web Application Firewall tausende von Applikationen vor über 11 Milliarden Angriffen geschützt und ist somit die ideale Lösung für Unternehmen, die Web-Applikationen gegen Datenpannen und Manipulation absichern möchten. Mit der Barracuda Web Application Firewall sind Administratoren nicht auf "Clean Code" oder die detaillierte Kenntnis der Funktionsweise einer Applikation angewiesen, um diese wirkungsvoll zu schützen. Unternehmen können mit einer Barracuda Web Application Firewall als Hardware- oder Virtual Appliance einsetzten.

Schützt Applikationen vor DDoS-Attacken und anderen Angriffen

Die Barracuda Web Application Firewall bietet stabile Sicherheit gegenüber zielgerichteten und automatisierten Angriffen. OWASP-Top-10-Angriffe wie SQL-Injection und Cross-Site Scripting (XSS) werden automatisch erkannt und protokolliert. Administratoren haben nun die Möglichkeit ihre Gegenmaßnahmen granular zu steuern, wobei ihnen neben Blockieren, Drosseln und Umleiten noch eine Reihe anderer Aktionen zur Verfügung steht.

Dank erweiterter Möglichkeiten zum Schutz vor DDoS-Angriffen können Administratoren echte Benutzer von Botnets unterscheiden, wozu sie heuristische Fingerprints und IP-Reputation einsetzen. Auf diese Weise können sie verdächtigen Datenverkehr blockieren, drosseln oder mit einer Challenge verknüpfen. Es ist branchenweit das einzige Produkt mit integrierter IP-Reputationsintelligenz, das situationsbezogene Echtzeiteinblicke mit historischer Intelligenz kombiniert, um vor DDoS-Angriffen auf Applikationsebene zu schützen. Dazu werden verschiedene Risikobewertungstechniken wie z.B. anwendungsorientierte Schwellenwerte, Protokollüberprüfungen, Sitzungsintegrität, aktives und passives Client-Challenging, historische Client-Reputation-Blacklists, geografischer Standort und Erkennung abnormer Leerlaufzeiten verwendet.

Adaptives Profiling

Dank adaptivem Profilings können Administratoren positive Sicherheitsprofile ihrer Applikationen aufbauen, indem sie den Web-Traffic von vertrauenswürdigen Hosts stichprobenartig untersuchen. Sobald die positiven Sicherheitsprofile aktiviert wurden, können die Administratoren granulare Whitelist-Regeln für sensible Teile der Applikation durchsetzen. Dadurch sinkt das Angriffsrisiko erheblich, und Zero-Day-Schwachstellen lassen sich verhindern, indem ausschließlich eingehender Datenverkehr zugelassen wird, der strengen Standards entspricht.

Vulnerability Remediation Service

The Barracuda Vulnerability Remediation Service vastly reduces the cost and complexity of configuring and maintaining the Barracuda Web Application Firewall. To deploy and configure, simply install the WAF with an IP address, point it at the applications you wish to secure, and initiate a scan. The resulting report can then be turned into active configuration on the WAF, completing the deployment and configuration process.

DevOps will continue to refine and improve your online presence. Barracuda Vulnerability Remediation Service makes it very easy to maintaining an “always secure” environment during this process. Automated security scanning speeds your development process, while granular controls allow either a hands-off approach to security, or step-wise implementation of each security policy before it is implemented in active configuration.

Server-Cloaking

Oftmals besteht der erste Schritt eines zielgerichteten Angriffs in der Sondierung öffentlich zugänglicher Applikationen. Dabei sollen Details über die zugrunde liegenden Server, Datenbanken und Betriebssysteme ermittelt werden. Durch das Cloaking wird die Erkundung geschützter Applikationen bei Angriffen verhindert, indem es Serverbanner, Fehlermeldungen, HTTP-Header, Rückgabecodes, Debugging-Informationen oder Backend-IP-Adressen unterdrückt, damit diese Angaben nicht zu einem potenziellen Angreifer gelangen. Denn ohne irgendwelche Details zur zugrunde liegenden Infrastruktur ist es viel schwieriger, zielgerichtete Angriffe durchzuführen, wodurch das Risiko sinkt.

Schutz für mobile Applikationen, REST APIs und AJAX

Heute verlassen sich Mobile Applikationen und REST-APIs auf JSON (JavaScript Object Notation) um Daten zu übertragen. Allerdings eröffnet dies eine ganz neue Angriffsfläche, die oft übersehen wird und schwer mit traditionellen Scans oder Pen-Testing-Ansätzen abzusichern ist. Die Barracuda Web Application Firewall sichert mobile Applikationen und REST APIs vollständig, filtert schädliche Einträge in Anfragen mit JSON-Payloads, hilft API SLAs mit Partnern zu gewährleisten, und bietet Anti-Pharming Schutz vor betrügerischen Anwendern. Interaktive Web-Applikationen die JSON mit AJAX nutzen werden in ähnlicher Weise geschützt.

XML-Firewall

XML-basierte Web-Applikationen können jetzt durch eine XML-Firewall-Funktion vor Schema- und WSDL-Poisoning, komplex verschachtelten Elementen, Recursive Parsing und anderen XML-basierten Angriffen geschützt werden. Dadurch wird die Kommunikation zwischen Client und Applikation oder zwischen Applikationen verschiedener Systeme sichergestellt und einem oft übersehenen Angriffsvektor wirkungsvoll begegnet.

Web Scraping Protection

Web Scraping involves copying large amounts of data from a website or application using automated tools. This is often done for commercial advantages that are to the detriment of the organisation that owns the web application. Typically, the motivation of the attacker is to undercut competition, steal leads, hijack marketing campaigns, and appropriate data via the web application. Examples include theft of intellectual property from digital publishers, scraping products and pricing information from e-commerce sites, and stealing listings on real estate, auto dealers and travel sites.

The Barracuda Web Application Firewall protects against web scraping by detecting and blocking malicious bots from accessing the website. Advanced detection techniques include the ability to set honeytraps to identify malicious bots and headless browser detection. Site administrators can also set whitelists for allowing specific bots, such as search engine crawlers to access the website. The Barracuda Web Application Firewall validates all bot traffic against known signatures before allowing them access to the website.

Data-Loss-Prevention

Die als Reverse-Proxy bereitgestellte Barracuda Web Application Firewall inspiziert den gesamten eingehenden Datenverkehr auf Angriffe und den ausgehenden Datenverkehr auf sensible Daten. Inhalte wie zum Beispiel Kreditkartennummern, Sozialversicherungsnummern oder andere spezifische Muster können von der Barracuda Web Application Firewall identifiziert und entweder blockiert oder verborgen werden, wozu keinerlei Administratoreingriffe nötig sind. Und was das Beste ist: Die Informationen werden protokolliert und können von Administratoren zur Aufspürung möglicher Lecks genutzt werden.

Kompromisslose URL Tamper Prevention mittels URL Encryption

Angriffe auf Web-basierte Applikationen beginnen oft mit Analyse und Manipulation der URLs. Barracuda Web Application Firewalls, ab Modell 660, sind mit einer einzigartigen URL Encryption-Funktion ausgestattet, die es Administratoren ermöglicht, URLs zu verschlüsseln, bevor sie an Clients gesendet werden. Die ursprünglichen URLs oder die Verzeichnisstruktur werden niemals extern neugierigen Blicken ausgesetzt. Die Nutzer der Web-Applikation interagieren und navigieren auf der Website nur mit verschlüsselten URLs, die von der WAF entschlüsselt werden. Der Entschlüsselungsvorgang erkennt Manipulationen von URL Query oder Parameter, Malicious Content Injection oder Blind Forceful Browsing Attacken sofort.

Compliance

Die Barracuda Web Application Firewall wurde als einfach einsetzbare und kostengünstige Lösung entwickelt, auf die Administratoren zurückgreifen können, wenn es darum geht, die Erfüllung der wichtigsten anwendungsspezifischen Anforderungen wie PCI-DSS, HIPAA, FISMA und SOX sicherzustellen. Sie wurde durch eine Reihe von neutralen Testlabors, darunter ICSA Labs, als eine effektive Web Application Firewall-Lösung zertifiziert. Die Barracuda Web Application Firewall erfüllt direkt Abschnitt 6.6 von PCI-DSS und unterstützt dank integrierter PCI-Complianceberichte die Regelkonformität. Die stabilen Leistungsmerkmale für Identitäts- und Zugriffsmanagement sowie Data Loss Prevention (DLP) gewährleisten den Schutz sensibler Daten. Mit einem FIPS 140-2 HSM-Modell wird sichergestellt, dass die geschützten Applikationen den höchsten Verschlüsselungsstandards entsprechen.

Web-basiertes Identitäts- und Zugriffs-Management

Die Barracuda Web Application Firewall integriert Active Directory oder andere RADIUS oder LDAP-kompatiblen Authentifizierungsdienste vollständig. In Kombination mit den starken Zugriffskontrollfunktionen bietet dies Administratoren granulare Kontrolle darüber, welche Benutzer oder Gruppen auf bestimmte Ressourcen zugreifen können. Zur Sicherung von Kerberos-fähigen Umgebungen kann auch die Authentifizierung für die geschützten Web-Applikationen, einschließlich Single-Sign-On für mehrere Kerberos-Dienste, ausgeführt werden.

Optimierung der föderierten Identität über Identity Providers, inklusive Azure AD

Die Barracuda Web Application Firewall unterstützt das SAML v2-Protokoll für die Authentifizierung und Web-basiertes Single Sign-On (SSO), was bedeutet, dass sie als SAML-Service-Provider (SP) für SAML-konforme Identity Provider (IdP) dienen kann, was Ihnen die Komplexität der Implementierung von SAML auf Ihrem Web-Server erspart. Dies vereinfacht SSO zwischen der Cloud und On-Premise Web-Applikationen sowie die Interfunktion mit Azure AD, das SAML 2.0 unterstützt.

Zweistufige Authentifizierung

Die Barracuda Web Application Firewall ermöglicht die Integration einer Reihe von zweistufigen Authentifizierungstechnologien, darunter Client-Zertifikate, SMS PASSCODES und Hardware-Token wie RSA SecurID, die für eine leistungsstarke Benutzerauthentifizierung sorgen.

Integrationen:SMS PASSCODES, RSA SecurID

Client-IP-Reputation & Benutzer-Zugriffs-Kontrolle

Mit Client-Source-Adressen können Unternehmen den Zugriff auf Web-Ressourcen steuern. Die Barracuda Web Application Firewall kann den Zugriff basierend auf GeoIP kontrollieren und den Zugang auf bestimmte Regionen eingrenzen. Sie ist auch mit der Barracuda Reputationsdatenbank integriert und kann verdächtige IP-Adressen, Bots, TOR-Netzwerke und andere anonyme Proxies, die häufig von Angreifern verwendet werden um ihre Identität und den Aufenthaltsort zu verbergen, identifizieren. Sobald eine IP-Adresse als Risiko identifiziert ist, haben Administratoren, bevor der Zugriff erlaubt wird, die Möglichkeit, zu blockieren, zu begrenzen, zu drosseln, oder ein CAPTCHA Challenge zu erstellen..

Integrationen: MaxMind

Vorgefertigte Security-Templates

Vorgefertigte Security Templates und eine intuitive Web-Benutzeroberfläche bieten sofortige Sicherheit ohne die Notwendigkeit zeitaufwändiger Feineinstellungen oder aufwendiger Trainings für die Benutzung neuer Applikationen. Die im Lieferumfang enthaltenen und sofort einsatzbereiten Applikationsvorlagen inkludieren unter anderen auch Vorlagen für Exchange, SharePoint, Oracle Financials und PHP.

Automatisieren und skalieren mittels RESTful API

Mit dem Aufkommen von Cloud Computing sind Rechenzentren zunehmend programmierbar geworden und DevOps sind heute ein wichtiger Schwerpunkt in Netzwerk-, Rechen- und Security-Stufen. Die Barracuda Web Application Firewall kommt mit einer REST-API, die es ihnen erlaubt die Appliance programmatisch zu konfigurieren und zu überwachen. Die Funktionalität der Appliance ist über Representational State Transfer-konforme Schnittstellen, die mit einer Programmiersprache Ihrer Wahl angesprochen werden können, offen. REST-API ermöglicht es Ihnen duch die Nutzung von Größenvorteilen in programmierbaren Umgebungen zu automatisieren und die Reduktion von "Time-to-Market" und Kosten zu erreichen.

Benutzerdefinierte Vorlagen für gesteigerte Produktivität

Das Management von Sicherheitsrichtlinien für Applikationen über mehrere Geräte kann schnell zu einer fehleranfälligen Herausforderung werden. Die Barracuda Web Application Firewall verfügt über Vorlagen, die die Möglichkeit bieten, Basiseinstellungen für die Sicherheit zu definieren, die dann als Modell für die Sicherheitsrichtlinien fungieren. Durch die Verwendung von Vorlagen können Sie schnell Sicherheitsrichtlinien erstellen, um eine bestimmte Applikation, ein Web-Portal, eine Plattform, ein Framework oder Teile davon zu sichern. Vorlagen erhöhen die Produktivität, reduzieren manuelle Fehler und die Bereitstellungszeit, und gewährleisten Policy Compliance.

Integration gängiger Vulnerability Scanner

Von Sicherheitsorganisationen werden oft Vulnerability Scanner eingesetzt, um nach ausnutzbaren Schwachstellen in ihren Applikationen zu suchen. Barracuda unterstützt die Integration gängiger Scanner wie IBM AppScan und Cenzic Hailstorm, wodurch die automatische Konfiguration eines Applikations Security Templates zum Schutz vor erkannten Problemen möglich wird. Der gesamte Konfigurationsprozess erfolgt automatisch unter Verwendung der Scanner-Ergebnisse und ohne jegliche Administratoreingriffe.

Integrationen:IBM AppScan, Cenzic Hailstorm

Detaillierte Berichte

Leistungsstarke grafische Reports bietet sofortigen Einblick hinsichtlich Compliance, Bedrohungen, Web-Traffic und die Einhaltung gesetzlicher Vorschriften. Mehr als 50 verschiedene vordefinierte Berichte stehen zur Verfügung. Diese können, mit zahlreichen Filtern für Angriffstypen, Traffic, Zeitperioden und vieles mehr, einfach angepasst werden.

Erstellte Berichte sind interaktiv und bieten Detailansichten. Berichte beinhalten PCI-Compliance-, Security-, Audit-, Web-Traffic- und Geo-Location-Analytik. Sie können bei Bedarf oder terminisiert, für die periodische Zustellung an mehrere Empfänger über E-Mail oder FTP, generiert werden.

Pro-aktive Riskikobeobachtung mittels anpassbarer Warnungen

Geplante Warnmeldungenn für die Risikoüberwachung und Analyse sind eine wichtige Voraussetzung für proaktive Sicherheitsadministratoren. Mit mehreren Security-Appliances im Rechenzentrum kann dies jedoch schnell unübersichtlich werden. Ohne jede Korrelation oder Konsolidierung können Advanced Persistent Threat (APT) Aktivitäten unbemerkt bleiben, zum Beispiel:

Um dies zu vermeiden, bietet die Barracuda Web Application Firewall Alarm-Konsolidierung und -Korrelation. Kundenspezifische Benachrichtigungen können mit mehreren Elementen wie Schadensausmaß, Angriffstyp, Applikation, Schwellenwerten und Frequenz definiert werden (beispielsweise Schwellenwerte für SQL-Injection-Frequenz auf Applikation X und Überwachung von Forceful-Browsing für die gleiche Applikation). Dies stellt sicher, dass wichtige Bedrohungen nicht im allgemeinen Lärm untergehen, senkt das Risikoprofil und die Betriebskosten und steigert die Produktivität. Warnmeldungen können auch für Hardware-Komponenten und einzelnen Systemmodule wie Authentifizierung, Admin Aktivität, SSL etc. angepasst werden.

Automatische Sicherheitsupdates

Die Barracuda Web Application Firewall wird durch ein umfassendes Netzwerk aus über 150.000 Sensoren ergänzt, die weltweit im Einsatz sind und die Barracuda Labs mit Daten versorgen. Die von diesen Sensoren stammenden wertvollen Daten nutzen die Barracuda Labs zur Erstellung der aktuellen Schutzdefinitionen. Diese Definitionen werden automatisch aktualisiert und als "virtuelle Patches" in die Appliances im Feld geladen. Dadurch ist die maximale Sicherheit von kritischen Applikationen jederzeit gewährleistet, und der Zeitraum zwischen Entdeckung und Beseitigung einer Schwachstelle wird erheblich reduziert. So können Administratoren Sicherheit gegen neue Bedrohungen in Echtzeit gewährleisten und dem Entwicklungsteam gleichzeitig die Zeit einräumen, den Quellcode der zugrunde liegenden Applikation gründlich zu analysieren und bei Bedarf Schwachstellen zu beheben.

High Availability Cluster

Barracuda Web Application Firewalls können paarweise im aktiv/passiv oder aktiv/aktiv Cluster mit Failover zur sofortigen Wiederherstellung bereitgestellt werden. Sicherheitseinstellungen und Konfigurationen werden automatisch zwischen den Clustern synchronisiert, damit is die sofortige Wiederherstellung nach möglichen Ausfällen gewährleistet.

Load Balancing und Monitoring von Applikationen

Die Barracuda Web Application Firewall unterstützt das Load Balancing für alle Arten von Applikationen. Load Balancing stellt sicher, dass aufeinanderfolgende Anfragen von der gleichen IP-Adresse auf den gleiche Back-End-Server weitergeleitet werden. Die Garantie der Persistenz erfordert die Kenntnis des Serverzustandes, damit nachfolgende Anfragen nicht an einen Server weitergeleitet werden der nicht mehr reagiert. Die Barracuda Web Application Firewall realisiert die Serverzustandsüberwachung durch Verfolgung von Serverantworten und tatsächlicher Anfragen und kennzeichnet den Server als "Out-of-Service" wenn Fehler einen vom Benutzer konfigurierten Schwellenwert überschreiten. Darüber hinaus kann die Barracuda Web Application Firewall Out-of-Band-Health-Checks durchführen bei welchen Anfragen generiert und in konfigurierten Zeitintervallen an den Server gesendet werden um dessen Zustand zu überprüfen.