IT-Dienstleister Paragon Data aus Friedrichsdorf bei Frankfurt am Main suchte für einen seiner Kundeneine ideale Lösung für den Schutz webbasierter Business-Anwendungen. Paragons langjähriger Partner Controlware schlug erfolgreich eine modulare Lösung von F5 Networks vor, mit einer starken Web Application Firewall im Zentrum.

Ein großer Hosting-Kunde von Paragon Data beschloss, seine SOAP-basierte Kundenanbindung auf eine webbasierte Architektur zu migrieren. Sicherheitstechnisch eine Herausforderung, denn die bisher von dem Kunden eingesetzten portbasierten Firewalls waren nicht auf den Schutz vor webbasierten internen und externen Gefahren ausgelegt. Von Beginn an war darum klar, dass die geschäftskritische Web-Anwendungen des Kunden durch eine zukunftssichere und leistungsfähige Web Application Firewall (WAF) geschützt werden mussten. Basierend auf einem zuverlässigen Whitelisting, sollte die WAF also als eine starke zusätzliche Schutzschicht für Web-Anwendungen fungieren.

Alles Nötige in einer Appliance

Eine weitere Anforderung war auch die automatische Erkennung und Verhinderung von Angriffen, um den Anwendungsentwicklern im Ernstfall möglichst viel Zeit für ein Update der Systeme zu gewähren. Zusammen mit dem langjährigen Partner Controlware machte sich Paragon auf der Suche nach einer passenden Lösung.

Die Wahl fiel schließlich auf die BIG-IP-Plattform des Herstellers F5 Networks. BIG-IP ist modular aufgebaut und unterstützt neben WAF auch die Einbindung von Modulen wie den Application Security Manager (ASM) und den Local Traffic Manager (LTM). Damit konnten alle notwendigen Funktionalitäten komfortabel auf einer Appliance untergebracht werden. Ein wichtiges Auswahlkriterium war auch die Tatsache, dass die Plattform von Haus aus eine ganzheitliche Architektur zur DoS- und DDoS-Abwehr bereitstellt. Zu guter Letzt spielte auch die Wirtschaftlichkeit eine zentrale Rolle. Paragon hatte bereits einige ältere BIG-IP-Modelle erfolgreich im Einsatz. Diese konnten auf Anraten von Controlware kostengünstig durch neuere Modelle ersetzt werden.

„Unsere Netzwerkspezialisten haben eine tragfähige Prognose für die künftigen Durchsatzanforderungen bei Paragon und beim Endkunden erstellt“, so Wolfgang Essel, Security Consultant bei Controlware. „Paragon hat sich in Absprache mit dem Kunden für die von uns empfohlene kompakte BIG-IP 2000s mit einem Layer-7-Durchsatz von 5 Gbps und rund 75.000 Layer-4-Verbindungen pro Sekunde entschieden – eine äußerst zukunftssichere und performante Plattform.“

„Die Plattform hat sich als bedienfreundlich, zuverlässig und flexibel erwiesen. Wir erreichen ein hohes Maß an Sicherheit.“

Jacek Dubiel, Abteilungsleiter Netzwerk
und Sicherheit bei Paragon Data.

Die neue Hardware wurde im Data Center von Paragon aufgestellt, ausgestattet mit ASM- und LTM-Modulen. Im ASM ist die WAF integriert, die laufend SSL-Verbindungen entschlüsselt und prüft, ob die Inhalte policykonform sind. Dem Whitelisting-Ansatz entsprechend wurde die WAF so konfiguriert, dass ausschließlich legitime URLs und Parameter zugelassen werden. Daneben verfügt der ASM über die Fähigkeit, intelligent zwischen gefährlichen und harmlosen Bots zu unterscheiden, sowie verdächtiges Cross-Site-Scripting zu unterbinden.

Parellel zur Inbetriebnahme der Lösung schulte Controlware die Mitarbeiter von Paragon Data im Management der WAF, in der Policy-Pflege und in der Optimierung der Konfiguration. Jacek Dubiel, Projektleiter und Abteilungsleiter Netzwerk und Sicherheit bei Paragon Data, zieht nach dem Abschluss des Projektes ein positives Résumé: „Die Plattform hat sich als bedienfreundlich, zuverlässig und flexibel erwiesen. Durch die Whitelisting-Policy erreichen wir ein hohes Maß an Sicherheit, ohne mit False Positives zu kämpfen oder hochkomplexe Regelwerke zu pflegen.“