Dzisiejsze aplikacje powszechnie wykorzystują interfejs webowy. Chociaż jest to bardzo wygodne, trudno zapewnić takim aplikacjom wymagany poziom bezpieczeństwa. Wynika to stąd, że dla klasycznej zapory, cały ruch odbywa się w standardowych sesjach HTTP, na porcie 80 lub wewnątrz szyfrowanego połączenia SSL. Aby móc chronić aplikację i serwer przed atakami, rozwiązanie ochronne powinno rozpoznawać nie tylko protokół, ale także dane przesyłane od aplikacji do klienta i z powrotem.

Przyjrzeć się zapytaniom, nie pakietom

Airlock jest produktem szwajcarskiej firmy Visonys, obecnie połączonej z austriacką firmą Phion. Rozwiązanie to jest dostępne jako paczka oprogramowania lub gotowe urządzenie typu appliance, wykorzystuje system operacyjny Solaris, włącznie z jego mechanizmami zabezpieczeń (zony). Zadaniem Airlocka jest kontrola dostępu i ochrona serwera internetowego przed atakami z zewnątrz przez analizę protokołu WWW. Analizie wewnątrz protokołu podlegają aplikacje Web 2.0, formularze przesyłane do serwera i z powrotem oraz kod AJAX. Urządzenie może także służyć do terminowania ruchu SSL, odciążając serwer webowy, wspiera różne metody uwierzytelnienia (LDAP, Radius, RSA, OCSP, Kerberos i certyfikat w przeglądarce) oraz umożliwia konfigurację o wysokiej dostępności. Urządzenie jest licencjonowane na chronione aplikacje.

Za pomocą rozwiązania, które umie analizować dane wymieniane podczas pracy z aplikacją, można odfiltrować najważniejsze ataki takie, jak SQL Injection, Cross Site Scripting, wykonanie podstawionego pliku, podmiana danych formularza, niezabezpieczone odwołania do obiektów pobierania danych, modyfikacja linków, błędy autoryzacji i szyfrowania danych, wyciek oraz nieprawidłowa obsługa błędów. Zadaniem takiego zabezpieczenia nie jest wykrycie błędów, ale blokowanie odwołań, które nie pasują do modelu eksploatacji aplikacji.

Uwaga na formularze

Przy normalnej pracy aplikacji webowej, zwracane wartości pól wyboru mogą przyjmować tylko wskazane w formularzu wartości. Każda ich modyfikacja oznacza atak i jest blokowana. To samo dotyczy linków. Przy wyborze dozwolonych akcji stosuje się dwie listy - białą i czarną. Biała zawiera cechy, z których przynajmniej jedna musi być spełniona przez zapytanie przekazywane do serwera. Przykładem reguły może być ograniczenie: "dla danego formularza obsługujemy wyłącznie POST z konkretnej grupy adresów IP". Czarna lista zawiera wszystko, co jest zakazane - sygnatury XSS, SQL Injection, Code Injection, przepełnień bufora i własne filtry użytkowników.

Odfiltrowanie ataków polega nie tylko na wykryciu i zablokowaniu znaków, które wskazują na próbę wstrzyknięcia kodu, ale także na tym, że system zabezpieczeń odróżnia niestandardową odpowiedź, która nie może pochodzić od przeglądarki. Zabezpieczane są pola ukryte (HIDDEN), sprawdzana jest długość pól oraz zgodność ze wzorcem wartości. W ten sposób działają także urządzenia firmy F5.