You are here

What's new in Airlock 4.1?

Sorry, this article is currently available in german only.

Bereich: Logging, Monitoring und Reporting

Neues Log-Konzept / erweiterte Logs
Alle Log-Meldungen beinhalten sowohl eine Komponente (z.B. Web-Request, Network, Config-Mgt, …) als auch eine Kategorie (Use, Health, Security, …). Mit diesen Orientierungshilfsmitteln wird es einfacher, die gesuchten Meldungen zu finden.

Die Logs von Airlock enthalten mehr Information und sind besser lesbar. So ist z.B. für jeden Request eine Zusammenfassung der Zeiten ersichtlich (Filter-Zeit, Name-lookup-Zeit, …).

Die Log-Einträge werden mit dem neuen Konzept „Event“ verdichtet. Damit werden Muster im Ablauf erkannt und gemeldet. Beispiele: mehrere fehlerhafte Login-Versuche auf die Configurations-Oberfläche, mehrere Filter-Blocks vom selben Client, … Die Events können an weitere Backend-Systeme weiter gereicht werden. Die bekannten Alert-Methoden wurden erweitert um eine URL-Methode, mit der verschiedenartige Systeme über ein Web-Interface angeschlossen werden können (z.B. SMS-Gateway).

Grafischer Log-Viewer mit integrierter grafischer Auswertung
Sämtliche Logmeldungen sind übers Managment-GUI (HTML) mit einem Log-Viewer zugänglich und können mit einem Webbrowser frei analysiert werden. Selbstverständlich können die Log-Dateien auch weiterhin auf ein Fremdsystem kopiert werden. Ein readonly-Zugang zur grafischen Log-Analyse ist mit dem User „log“ möglich.

Mit den vordefinierten Auswertungs-Grafiken können die Logs visuell sichtbar gemacht werden (z.B. HTTP Status Code, Grössen der Responses, Zeitverbrauch in verschiedenen Teilsystemen, …). Details der Auswertungsgrafiken können mit der Zoom-Funktion unter die Lupe genommen oder in einem grösseren Kontext angeschaut werden. Mit Hilfe der „copy time range“ Funktionalität können auf einfache Weise die zu einem bestimmten Ausschnitt der Grafik zugehörigen Log-Einträge gefunden werden (zeitliche Korrelation).

Die Log-Daten werden in Airlock je nach verfügbarem Disk-Platz bis zu einem Jahr aufbewahrt. Somit sind auch noch spätere Auswertungen mit dem grafischen log-Analyzer möglich. Bei Bedarf werden die Daten automatisch komprimiert archiviert.

Airlock kann die gesamten Log-Daten auch an einen externen Loghost schicken. So kann Airlock in zentralisierte Überwachungs-Landschaften eingebunden werden.

Transaktions-Logs / Request Korrelation

 

Alle zu einem Web-Requests gehörenden Logs werden mit einer Request-ID versehen. Im Log-Viewer kann mit einem Klick nach allen Einträgen dieses Requests gesucht werden. Die Request-ID kann auch auf den Error-Pages eingeblendet werden. Dadurch kann auf einfache Art festgestellt werden, warum ein Request zu einem Fehler geführt hat. Der User-Support vereinfacht sich damit sehr.

Apache-Style access_log mit unverschlüsselten Pfaden
Es gibt viele Auswertungs-Tools die Acces_log im Apache-Stil (combined log) verarbeiten können. Damit Kunden eigene Auswertungen auf dieser Basis vornehmen können, bietet Airlock diese Daten an. Auch bei eingeschalteter URL-Verschlüsselung sind die originalen Klartext-Pfade im access_log.

Integrations-Modus
Die Filter können so konfiguriert werden, dass sie nur Log-Einträge schreiben, die Requests aber nicht geblockt werden. Dies ermöglicht eine einfachere Integration. Um einen noch besseren Einblick in die Abläufe der Filter zu bekommen, könn mit dem Trace-Mode Requests detailiert ausgerwertet werden.

Watchdogs
Es wurden einige neue interne Überwachungs-Tools in Betrieb genommen, welche Fehler-Zustände erkennen und melden oder sogar selbstständig beheben können.

Reporting
Airlock generiert tägliche, wöchentliche, monatliche und jährliche Reports zu diversen Aspekten: Processing-Time, Status-Code, Klartext-Pfad, File-Type, virtual host, Browser-Übersicht, Client IP-Auswertung, …

Failover-Information
Der Zustand der einzelnen Server eines Failover-Clusters kann im zeitlichen Verlauf grafisch betrachtet werden. Der Zustand aktiv/passiv wird im System-Monitoring über die Zeit dargestellt.

Bereich: Filter

Neues Whitelist-Filter Konzept
Das Konzept der Whitelist-Filter wurde verfeinert und optimiert. Mit wenigen Regel-Einträgen kann eine stark verbessrte Sicherheit erreicht werden. Der Applikations-Spezialist kann mit Pfad- und Paramterangaben genau definieren, was wo erlaubt ist.

Neuer default Filter: Anonymisierungs-Netzwerke
Angreifer verwenden häufig einen Anonymisierungsdienst um unerkannt zu bleiben. Bei den reguläre Kunden/Anwendern ist der Anteil der User die Client-IP-Verschleierung betreiben verschwindend gering. Ein Betreiber einer Web-Dienstleistung weiss gern, mit wem er es zu tun hat. Eine Filterung kann den Anteil der Attacken deutlich verringern.

Pattern Negation
Die Pattern können dort wo semantisch sinnvoll negiert angewandt werden. Damit können Ausdrücke wie „alles ausser Bilder“ besser formuliert werden.

Bereich: URL encryption / Form Protection & Rewriting

Form Protection Ausnahmen
Die Form-Protection Formulare können mit Ausnahme-Parametern versehen werden, die von der Signatur ausgenommen sind. Ein Anwedungsfall dafür sind hidden parameters die client-seitig applikatorisch mit Javascript geändert werden.

Pfad im Klartext
Der mapping-bestimmende Pfad ist im Klartext lesbar. Dies ermöglicht eine korrekte Fehlerbehandlung (Redirect gemäss den Angaben im Mapping) sowie auch eine Orientierung für den User in welchem Bereich der Web-Applikation dass er sich befindet. Wenn PBE Verschlüsselung gewählt wird, so können im Pfad auch Suchmaschinenoptimierungen mitgegeben werden (http://www.example.com/Bergbahn_Tickets/$xp=1/LFeb6+702/ghje...). Mit sessionbasierender Verschlüsselung ist ein Suchmaschinenzugriff nicht sinnvoll.

Raw-Rewriting
Mit dem Raw-Rewriter kann beliebiger Inhalt umgeschrieben werden – nicht nur HTML, sondern auch andere Anwendungsdaten wie CSS-Files oder Citrix ICA Configs.

Bereich: Backend-Loadbalancing

Hochlastoptimierungen
Das Backend-Loadbalancing wurde für Hochlastumgebungen optimiert. So werden Informationen über den Zustand der backend-Server über die Sessions verteilt. Ein Ausfall eines Backend-Systems wird sofort in die betroffenen Sessions gemeldet, sodass diese keinen backend-Timeout erzeugen.

Loadbalancing-Cookie
Das für den sessionless Berieb benützte Loadbalancing Cookie kann im GUI bei Nicht-Verwendung deaktiviert werden.

Bereich: ICAP

ICAP
Airlock kann externe Filter oder Content-Änderungs-Systeme anbinden. Dafür gibt es viele Anwendungsmöglichkeiten. Angefangen vom Anti-Virus/IDS System über Suchmaschinen-Optimierungswerkzeuge bis hin zu Inhalts-Änderungssystemen (z.B. Übersetzung oder Anonymisierung). Konkret getestet wurde bereits die Anbindung der Antivirus-Produkte von TrendMicro und Symantec .

Bereich: Installations-Unterstützung, Hardware

OneArmed
Airlock kann „einarmig“ betrieben werden. Dies bedeutet, dass die IP-Adressen alle im selben Subnetz liegen dürfen und dass ein einziges Netzwerk-Interface ausreicht. Aufgrund der Port-überschneidungen (443 für Managment und extern) werden trotzdem noch mehrere IP-Adressen verwendet.

Disk-Labeling, Disk-Formatierung
Die Erkennung/Behandlung von Disk-Umgebungen wurde erweitert und vereinfacht.

Optimierte Performance-Profile
Airlock unterstützt diverse Hardware-Zielplatformen von einer kleinen virtuellen Maschine auf dem Laptop bis zum Multiprozessor-Mehrkern-System. Durch Hardware-Profile wird sichergestellt, dass automatisch die richtigen Werte für eine optimale Perfromance auf dem System gewählt werden. Treiber

Es wurden einige weitere Treiber für verbreitete Netzwerkkarten und Disksysteme integriert. So kann z.B. HP Proliant G5 Architektur ohne zusätzliche Treiber vom Hersteller betrieben werden. (LSImegaRAID, BCME. CPQary3, HP smart Array 5i, alta, …)

Neustes Solaris als Basis
Für eine erweiterte Hardware-Erkennung wurde das aktuelle Solaris 10 11/06 (u3) als Basis-Betriebssystem verwendet.

Diverse Neuerungen

Client-Certificate pro virtual Hosts
Client Certificates können nun alternativ auch für den gesamten Virtual Host verlangt werden, nicht nur für einzelne Subverzeichnisse. Damit ist kein SSL-Renegotiate mehr notwendig und Probleme mit grossen "POST"-Requests gehören der Vergangenheit an.

Knowledge Base Categories: