Der aspectra-Blog seit 2012

Airlock WAF 7.3: Dynamische schwarze Listen für böse Adressen

Seit April ist die Airlock WAF 7.3 bei aspectra im Einsatz. Die neue Version bietet zweckmässige Neuerungen. Eine davon ist die IP Blacklist.

Die Airlock Web Application Firewall (WAF) 7.3. wartet mit diversen Verbesserungen wie der einfacheren Integration von Security Levels, TLS 1.3, Cloud Support und API Gateway auf. Integriert ist auch ein neuer Sicherheitsansatz – die dynamische IP Blacklist.

Was ist die IP Blacklist?

Airlock WAF verfolgt mit der Bereitstellung von regelmässig überwachten und aktualisierten White- und Blacklists einen proaktiven Sicherheitsansatz. Auf der schwarzen Liste landen IP-Adressen, von denen innerhalb eines konfigurierbaren Zeitfensters eine vordefinierte Anzahl bösartiger Aktivitäten ausgegangen ist. Das System blockiert folglich Zugriffe von IP-Adressen, die auf der Blacklist sind.

Wie funktioniert die IP Blacklist?

Die Blacklist verwaltet sich automatisch. Löst eine IP-Adresse eine Sperre aus, landet sie auf der Watchlist. Überschreitet eine IP während eines definierten Zeitrahmens die Grenze der Anzahl tolerierten Blocks, setzt sie das System automatisch für einen gewünschten Zeitraum auf die Blacklist. Die dynamische Blacklist unerwünschter IP-Adressen aktualisiert sich durch Sliding-Window-Werte.

Welchen Nutzen bringt die Blacklist?

Indem wir Adressen auf der schwarzen Liste blockieren, streuen wir Sand ins Getriebe von automatisierten Tools. Mit der Blacklist können wir auch besser auf Angriffe reagieren, die wir nicht orten können. Das ist insbesondere bei DDoS-Angriffen aus der Cloud nützlich. So können wir der WAF sagen: «Hier ist ein Angriff. Entzieh dieser bisher unbekannten und nicht aufgelisteten IP temporär den Zugriff.» Das erweitert das bisherige statische Vorgehen, um dynamisch mit bösen Absichten mitzuhalten. Dynamisches Blacklisting macht zudem den Ausschluss des Verkehrs durch Geolocation effektiver. Die Sanktionierung eines Gebiets als Ganzes ist nicht mehr nötig.

Wozu gibt es eine Whitelist?

Die Whitelist erlaubt eine manuelle Verwaltung von Zugriffen. Mit ihr können wir vertrauenswürdige IP-Adressen von einer Überprüfung ausnehmen. Das spart Rechenleistung. Entsprechend können gutartige Bots, wie beispielsweise Suchmaschinen, ungestört arbeiten.