Überall dort, wo schützenswerte Informationen über Webanwendungen (HTTP, Web Services) ausgetauscht oder dargestellt werden. Das kann z.B. eine Webmail Anwendung (z.B. Outlook Web Access) oder Dateiverwaltung (z.B. MS Sharepoint) oder auch komplexere Transaktionen wie E-Voting sein. Der USP Secure Entry Server^TM schützt diese Anwendungen als Web Application Firewall vor Angriffen über das Internet und die Benutzer von Webanwendungen vor Datenmanipulation und Identitätsdiebstahl. Zudem bietet der USP Secure Entry Server^TM die Möglichkeit, mehrere Komponenten zusammenzufassen. So kann z.B. ein bestehender Citrix Secure Gateway (CSG) durch den SES ersetzt werden, ohne Einbusse des Funktionsumfangs.
Die Sicherheit aller Webanwendungen, welche Benutzer noch durch Benutzername/Passwort authentifizieren, sind durch Trojaner und Keylogger in höchstem Masse gefährdet. Durch den Einsatz der Web Application Firewall von United Security Providers können solche Anwendungen ohne Eingriff in die bestehende Umgebung und Funktionalität auf eine moderne 2-Faktor Authentisierung (wie z.B. mTAN/SMS, RSA SecurID, Aladdin eToken OTP, VASCO, Kobil etc.) umgestellt werden, was das Sicherheitsniveau auf einen Schlag erhöht.

Der gesamte Datenverkehr (HTTP/S, SOAP) wird überwacht und der Inhalt der ausgetauschten Daten (HTML, XML, JavaScript,...) überprüft. Die übermittelten Daten werden aufgrund eingebauter Heuristiken, mittels ausbaubarer Regeln und der Einschätzung von Drittsystemen – z.B. Virenscanner – klassifiziert. Sobald verdächtige Dateninhalte identifiziert werden, wird die Anfrage entweder blockiert oder es werden korrektive Aktionen durchgeführt. Der Benutzer wird entweder aufgefordert, sich neu anzumelden, die Korrektheit der Daten zu bestätigen oder aber das Ereignis wird an ein Drittsystem (Überwachungssystem, Fraud Detection System) zur Beurteilung weitergeleitet. Dadurch wird sichergestellt, dass keine Hacker Ihre Verbindung übernehmen können, um die Mails zu lesen und keine virenversuchten Dateien in Ihr Sharepoint oder Ihren E-Mail Anhängen landen.
Unsere Web Application Firewall, der USP Secure Entry Server^TM, unterstützt zwei unterschiedliche Betriebsmodi. Das «Negative Sicherheitsmodell» blockiert alle Zugriffe, die irgendeine Regelverletzung auslösen. Das «Positive Sicherheitsmodell» blockiert alle Zugriffe, die nicht auf eine gültige URL einer eingetragenen Anwendung stattfinden. Beide Betriebsmodi können gleichzeitig eingesetzt werden. Ein mitgeliefertes Simulationswerkzeug ermöglicht es dem Administrator, sicherzustellen, dass die Regeln des negativen Sicherheitsmodells keine korrekten Anfragen blockieren (sog. 'false positives'). Ein Lernmodus unterstützt den Administrator bei der Generierung einschränkender Regeln für das positive Sicherheitsmodell, damit keine manipulierten Anfragen ('false negatives') durchgelassen werden.

Unsere Web Application Firewall, der USP Secure Entry Server^TM, ist eine Appliance, welche einfach zwischen dem Internet und den zu schützenden Webservern installiert wird. Dafür können zwei unterschiedliche Netzwerkanschlüsse verwendet werden. Für spezielle Einsätze, wie z.B. auf virtualisierten Servern, kann der USP Secure Entry Server^TM auch als Softwarepaket eingesetzt werden.
Zusätzlich zum Schutz der Webserver können auch Benutzer und deren Transaktionen geschützt werden. Dafür wird eine bereits bestehende Authentisierungsinfrastruktur über RADIUS oder LDAP eingebunden. Es ist dabei nicht erforderlich, dass eine homogene Infrastruktur vorliegt. Der USP Secure Entry Server^TM unterstützt innerhalb der gleichen Installation beliebig viele Anmeldeverfahren. Damit ist es auch ein ideales Instrument, um 2-Faktor Authentisierung für Mitarbeitende, Kunden oder andere Benutzer einzuführen bzw. auf andere Technologien zu migrieren.

Ein grundlegender Schutz für die Webserver und Standardanwendungen ist schon innerhalb weniger Stunden erreichbar. Über die Webkonfiguration werden die zu schützenden Anwendungen (z.B. Outlook Web Access) und das Zielsystem definiert. Anschliessend muss der USP Secure Entry Server^TM lediglich noch korrekt vernetzt werden und schon werden alle Zugriffe auf die eingetragenen Anwendungen durch die im USP Secure Entry Server^TM  eingebauten Mechanismen geschützt.
Der Schutz kundenspezifischer Webanwendungen bedarf einer vertieften Analyse der zugreifbaren URLs, ausgetauschten Daten und Verwaltungsinformationen (Cookies). Diese Informationen können vom USP Secure Entry Server^TM  in einem Lernmodus gesammelt werden. Wenn ein hoher Schutzbedarf besteht, ist es möglich, nur den Zugriff auf die im Lernmodus gesehenen Adressen zuzulassen (Positives Sicherheitsmodell). Dieses Verfahren ist sehr sicher, birgt jedoch das Problem, dass Adressen oder Pattern, die während der Lernphase nicht verwendet wurden, durch den USP Secure Entry Server^TM ebenfalls blockiert werden. Entsprechend empfehlen wir hier eine längere Lernphase mit ausgiebiger Verwendung des Simulationsmodus. Dieser Prozess kann einige Tage Integrationsaufwand in Anspruch nehmen.
Ein zusätzlicher Funktionsbereich des USP Secure Entry Servers^TM ist die Unterstützung unterschiedlicher Authentisierungsverfahren und Web Single sign-On (SSO). Falls eine Infrastruktur für die Authentisierung oder ein IAM-System bereits besteht, ist der Aufwand für die Einbindung eines RADIUS, RSA ACE oder LDAP Servers nur wenige Minuten. Wenn die Webauthentisierung neu aufgebaut werden soll, hängt der Aufwand stark vom Anmeldeverfahren ab. Für eine sichere Anmeldung sollte immer ein externes Gerät eingesetzt werden. Das führt dazu, dass Prozesse für die Verteilung und den Ersatz dieser Geräte implementiert oder auf bestehende Prozesse aufgesetzt werden müssen (z.B bei mTAN). Der Grossteil des Aufwands liegt in der Evaluierung und Einführung der Token und Prozesse. 

Sicherheit ist ein stetiger Prozess. Die Abwehrmechanismen des USP Secure Entry Server^TM werden regelmässig den neuesten Angriffszenarien angepasst. Diese Änderungen erscheinen etwa im Rhythmus von zwei Monaten und sollten möglichst rasch eingespielt werden. Ausserdem empfehlen wir, regelmässig die Logfiles zu überwachen um das unvermeidliche Auftreten von false positives/false negatives und andere sicherheitsrelevante Ereignisse zu überwachen.
Für Kunden, welche solche Aufgaben lieber geschulten Sicherheitspezialisten überlassen, bietet United Security Providers die Abwicklung dieser Aufgaben als abonnierbarer Dienst (managed security service) an. Damit haben Sie die Gewähr, einen hohen Sicherheitsstandard zu kalkulierbaren Kosten zu erhalten.
Zusätzlicher Anpassungsbedarf entsteht jedes Mal, wenn neue oder geänderte Anwendungen aufgeschaltet werden. Die mitgelieferte Lern- und Simulationssoftware ermöglicht, den anfallenden Aufwand möglichst klein zu halten.
Der SES ermöglicht, mit einer einzigen Anmeldung auf alle eingebundenen Webanwendungen zuzugreifen. Falls dieses Web Single Sign-On (SSO) aktiviert wird, muss jede Webanwendung einmal in den SSO-Mechanismus eingebunden werden. Die im USP Secure Entry Server^TM eingebauten Schnittstellen und Filter für Standardanwendungen garantieren, dass der Grossteil der Anwendungen innerhalb von Minuten auf Web-SSO umgestellt werden können, ohne dass an der Anwendung oder auf dem Webserver Änderungen erfolgen müssen. 

Der USP Secure Entry Server^TM bietet eine grosse Anzahl an Schnittstellen für die Einbindung von Drittsystemen. Beispiele sind Systemverwaltungs-Software (Systems Management Software, SMS), Fraud Detection Systeme, Virenscanner, Monitoringsysteme, Load Balancer etc. Diese Schnittstellen sind ausführlich dokumentiert und werden den Kunden für eigene Erweiterungen zur Verfügung gestellt. Auf Anregung werden Anforderungen, welche für einen breiten Kundenkreis von Interesse sind, in die Produkte-Roadmap aufgenommen und in einer zukünftigen Version eingebaut.
United Security Providers liefert das Produkt auch als Softwarelizenz aus. Damit lassen sich selbst die Architektur und Verteilung der Systemkomponenten über unterschiedliche Rechner und Netzwerkzonen beliebig konfigurieren. Durch diesen Mix aus dokumentierten Schnittstellen, offener Architektur und standardisierten Systemkomponenten erreichen wir eine beispiellose Flexibilität, die den USP Secure Entry Server^TM von allen anderen Produkten in diesem Bereich abhebt.

Sie bestimmen die zu schützenden Anwendungen und die ungefähre Anzahl Zugriffe sowie Benutzende für die entsprechenden Webdienste. Diese Angaben bestimmen die Grösse der notwendigen USP Secure Entry Server^TM Appliance. Entscheiden Sie, ob die Appliance ausschliesslich den HTML/SOAP Datenverkehr überprüfen soll, oder ob gleichzeitig auch Web-Single sign-On (SSO) eingeführt und evtl. die Authentisierungsmethoden verbessert werden sollen.
In einem ersten Installationsschritt wird der USP Secure Entry Server^TM ans Netzwerk angeschossen und über den Browser wird die IP-Adresse, Maschinenname und X.509V3 Zertifikate konfiguriert. Für jede zu schützende Standardanwendung wählen Sie den Anwendungstyp und die Verbindungsinformationen. Für kundenspezifische Webanwendungen kann der Lernmodus aktiviert und nach Ablauf der Lernphase die notwendigen Regeln generiert werden. In der zweiten Phase ändern Sie das Netzwerklayout und das Routing, so dass alle Zugriffe auf die Webanwendungen über die Web Application Firewall laufen. Damit sind die Webserver vor Angriffen aus dem Internet geschützt. In einer optionalen – dritten – Phase können eine 2-Faktor Authentisierung und Web-Single Sign-On aktiviert werden. Nach dieser Phase sind Benutzende vor Identitätsdiebstahl gut geschützt. Einen zusätzlicher Schutz wird erreicht, wenn Internettransaktionen analysiert und der Transaktionsschutz des USP Secure Entry Servers^TM aktiviert wird. Diese höchste Sicherheitsstufe erlaubt, kritische Transaktionen auch von infizierten Rechnern aus sicher auszuführen.

Eine konventionelle Firewall regelt den Zugriff auf Dienste. Damit kann der Datenverkehr auf einen Webserver (Port 80/443) entweder ganz zugelassen oder ganz blockiert werden. Die Web Application Firewall blockiert Webdienste viel selektiver, je nach Inhalt der ausgetauschten Daten und stellt das Ganze im Kontext zum aktuellen Status innerhalb des HTTP und SOAP Protokolls. Nur wenn die Sequenz der Protokollschritte stimmt, die Verwaltungsdaten (HTTP Header) den W3C Standards entsprechen und der Dateninhalt (HTML/XML) keinen Angriffsvektoren entsprechen, wird die Anfrage zum Webserver weitergeleitet.

Gegen moderne Angriffe auf Webanwendungen sind herkömmliche Firewalls (deep inspection firewalls), die Daten nicht im Kontext einer gesamten Transaktion stellen, nutzlos. 

Eine Web Application Firewall schützt HTTP- und SOAP-basierte Anwendungen und Dienste. Es muss sichergestellt werden, dass Benutzer nur über die Web Application Firewall auf die Webserver zugreifen können. Wenn keine Webanwendungen existieren oder der Zugriff über die Web Application Firewall nicht erzwungen werden kann, macht deren Einsatz keinen Sinn.

Die Bedrohungen ändern ständig und unterscheiden sich je nach Zielgruppe der Angriffe. Zu den wichtigsten Angriffstechniken gehören

• Die Manipulation von Daten (form data tampering, injection flaws, forceful browsing, HTTP request smuggling)
• Das Ausführen von Code im Kontext des Internetbenutzers (Cross Site Scripting, Drive-by infection)
• Die Übernahme der Identität eines legitimen Benutzers (session riding, sessin hijacking)

Diese Attacken verfolgen meist das Ziel, Informationen zu beschaffen oder weitere Angriffe vorzubereiten (Trojaner). Sehr häufig wird aber auch nur versucht, die Verfügbarkeit eines Dienstes zu blockieren (DoS).

Phishing-Attacken zielen darauf ab, Internet-Benutzern durch Tricks ihre Passwörter zu entlocken. Gegen solche Angriffe auf den Benutzer kann eine Web Application Firewall nur bedingt schützen. Das Problem liegt darin, dass Passwörter mehrere Monate lang gültig sind und die Benutzer meist gar nicht bemerken, dass ihr Passwort «gestohlen» wurde.
Der USP Secure Entry Server^TM (SES) jedoch ist in der Lage, die Folgen gestohlener Passwörter zu mindern und schützt damit indirekt vor Phishing-Attacken: Der SES fordert die Benutzer zusätzlich zum Passwort zur Eingabe einer beschränkt gültigen Transaktionsnummer (TAN) auf. Diese kann z.B. über SMS verschickt oder durch RSA SecurID oder ähnliche Token generiert werden. Dadurch ist die Anmeldung mittels eines gestohlenen Passworts nicht mehr möglich und eine erfolgreiche Phishing-Attacke bleibt ohne Folgen.

Sicherheit duldet keine Kompromisse! Deshalb wird der  USP Secure Entry Server^TM laufend den neuesten Herausforderungen des Internets und Erkenntnissen der Sicherheitsexperten angepasst. Sinnvolle Technologien werden aufgenommen und unterstützt. Auch die Kooperation und der Informationsaustausch mit Drittsystemen wie Virenscanner, Monitoringsysteme, Fraud Detecion Systeme etc. wird laufend verbessert und – wo vorhanden – den neuesten Standards angepasst.

Sicherheit ist ein stetiger Prozess. Die Abwehrmechanismen des USP Secure Entry Server^TM werden regelmässig den neuesten Angriffszenarien angepasst. Diese Änderungen erscheinen etwa im Rhythmus von zwei Monaten und sollten möglichst rasch eingespielt werden. Ausserdem empfehlen wir, regelmässig die Logfiles zu überwachen um das unvermeidliche Auftreten von false positives/false negatives und anderen sicherheitsrelevanten Ereignissen zu überwachen. Für Kunden, welche solche Aufgaben lieber geschulten Sicherheitspezialisten überlassen bietet United Security Providers die Erledigung dieser Aufgaben als abonnierbarer Dienst (managed security service) an. Damit haben Sie die Gewähr, einen hohen Sicherheitsstandard zu kalkulierbaren Kosten zu erhalten.

Kontaktieren Sie uns über die E-Mail-Adresse solutionsales(at)united-security-providers.ch oder per Telefon unter +41 31 959 02 02.