Cortafuegos de aplicaciones web

Sistema de seguridad de red específico HTTP

Un firewall de aplicaciones web ( WAF ) es una forma específica de firewall de aplicaciones que filtra, monitorea y bloquea el tráfico HTTP hacia y desde un servicio web . Al inspeccionar el tráfico HTTP, puede prevenir ataques que exploten las vulnerabilidades conocidas de una aplicación web, como inyección SQL , secuencias de comandos entre sitios (XSS), inclusión de archivos y configuración inadecuada del sistema. ^[1] También introducen una degradación del rendimiento y los atacantes los evitan fácilmente, por lo que no se recomienda su implementación. ^[2]

Historia

Los firewalls de aplicaciones web dedicados ingresaron al mercado a fines de la década de 1990, en una época en la que los ataques a servidores web se estaban volviendo más frecuentes.

Perfecto Technologies desarrolló una primera versión de WAF con su producto AppShield , ^[3] que se centraba en el mercado del comercio electrónico y protegía contra entradas ilegales de caracteres en páginas web. Otros productos WAF tempranos, de las tecnologías Kavado y Gilian, estaban disponibles en el mercado al mismo tiempo, tratando de resolver la creciente cantidad de ataques a aplicaciones web a finales de los 90. En 2002, se formó el proyecto de código abierto ModSecurity ^[4] para hacer la tecnología WAF más accesible. Finalizaron un conjunto de reglas básicas para proteger las aplicaciones web, basándose en el trabajo sobre vulnerabilidades del Comité Técnico de Seguridad de Aplicaciones Web (WAS TC) de OASIS. En 2003, ampliaron y estandarizaron las reglas a través de la Lista de las 10 principales del Open Web Application Security Project (OWASP), una clasificación anual de vulnerabilidades de seguridad web. Esta lista se convertiría en el estándar de la industria para el cumplimiento de la seguridad de las aplicaciones web. ^{[5] [6]}

Desde entonces, el mercado ha seguido creciendo y evolucionando, centrándose especialmente en la prevención del fraude con tarjetas de crédito . Con el desarrollo del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), una estandarización del control sobre los datos de los titulares de tarjetas, la seguridad se ha vuelto más regulada en este sector. Según la revista CISO, se esperaba que el mercado de WAF creciera hasta 5.480 millones de dólares en 2022 ^[7] . ^[8]

Descripción

Un firewall de aplicaciones web es un tipo especial de firewall de aplicaciones que se aplica específicamente a las aplicaciones web. Se implementa frente a las aplicaciones web y analiza el tráfico web bidireccional (HTTP), detectando y bloqueando cualquier cosa maliciosa. El OWASP proporciona una definición técnica amplia de WAF como "una solución de seguridad a nivel de aplicación web que, desde un punto de vista técnico, no depende de la aplicación en sí". ^[9] Según el Suplemento de información de PCI DSS para el requisito 6.6, un WAF se define como “un punto de aplicación de políticas de seguridad ubicado entre una aplicación web y el punto final del cliente. Esta funcionalidad se puede implementar en software o hardware, ejecutándose en un dispositivo o en un servidor típico que ejecuta un sistema operativo común. Puede ser un dispositivo independiente o estar integrado en otros componentes de la red”. ^[10] En otras palabras, un WAF puede ser un dispositivo virtual o físico que evita que las vulnerabilidades de las aplicaciones web sean explotadas por amenazas externas. Estas vulnerabilidades pueden deberse a que la aplicación en sí es de tipo heredado o no estaba suficientemente codificada por diseño. El WAF aborda estas deficiencias del código mediante configuraciones especiales de conjuntos de reglas, también conocidas como políticas.

Las vulnerabilidades previamente desconocidas se pueden descubrir mediante pruebas de penetración o mediante un escáner de vulnerabilidades. Un escáner de vulnerabilidades de aplicaciones web , también conocido como escáner de seguridad de aplicaciones web, se define en SAMATE NIST 500-269 como “un programa automatizado que examina las aplicaciones web en busca de posibles vulnerabilidades de seguridad. Además de buscar vulnerabilidades específicas de aplicaciones web, las herramientas también buscan errores de codificación de software”. ^[11] La resolución de vulnerabilidades se conoce comúnmente como remediación. Se pueden realizar correcciones al código en la aplicación, pero normalmente es necesaria una respuesta más rápida. En estas situaciones, puede ser necesaria la aplicación de una política personalizada para una vulnerabilidad única de una aplicación web para proporcionar una solución temporal pero inmediata (conocida como parche virtual).

Los WAF no son una solución de seguridad definitiva, sino que están destinados a usarse junto con otras soluciones de seguridad perimetral de red, como firewalls de red y sistemas de prevención de intrusiones, para proporcionar una estrategia de defensa integral.

Los WAF suelen seguir un modelo de seguridad positiva, una seguridad negativa o una combinación de ambas, como lo menciona el Instituto SANS . ^[12] Los WAF utilizan una combinación de lógica basada en reglas, análisis y firmas para detectar y prevenir ataques como secuencias de comandos entre sitios e inyección SQL. En general, se utilizan funciones como la emulación del navegador, la ofuscación y la virtualización, así como la ofuscación de IP, para intentar eludir los WAF. ^[13] La OWASP produce una lista de los diez principales fallos de seguridad de las aplicaciones web. Todas las ofertas comerciales de WAF cubren estos diez defectos como mínimo. También existen opciones no comerciales. Como se mencionó anteriormente, el conocido motor WAF de código abierto llamado ModSecurity es una de estas opciones. Un motor WAF por sí solo no es suficiente para proporcionar una protección adecuada, por lo tanto, OWASP junto con Spiderlabs de Trustwave ayudan a organizar y mantener un conjunto de reglas básicas a través de GitHub ^[14] para usar con el motor WAF ModSecurity. ^[15]

Opciones de implementación

Aunque los nombres del modo operativo pueden diferir, los WAF se implementan básicamente en línea de tres maneras diferentes. Según NSS Labs, las opciones de implementación son puente transparente , proxy inverso transparente y proxy inverso . ^[16] 'Transparente' se refiere al hecho de que el tráfico HTTP se envía directamente a la aplicación web, por lo tanto, el WAF es transparente entre el cliente y el servidor. Esto contrasta con el proxy inverso, donde el WAF actúa como proxy y el tráfico del cliente se envía directamente al WAF. Luego, el WAF envía por separado tráfico filtrado a las aplicaciones web. Esto puede proporcionar beneficios adicionales, como el enmascaramiento de IP, pero puede introducir desventajas como la latencia de rendimiento.

Ver también

• Cortafuegos de aplicaciones
• Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
• Aplicación web
• Software como servicio (SaaS)
• La seguridad informática
• Seguridad de la red
• Seguridad de la aplicación
• Seguridad de aplicaciones web

Referencias

1. "Firewall de aplicaciones web". Objetivo tecnológico . Consultado el 10 de abril de 2018 .
2. Deje de implementar firewalls de aplicaciones web
3. "Perfecto Technologies ofrece AppShield para negocios electrónicos - InternetNews". www.internetnews.com . 27 de agosto de 1999 . Consultado el 20 de septiembre de 2016 .
4. "Página de inicio de ModSecurity". ModSeguridad .
5. DuPaul, Neil (25 de abril de 2012). "¿Qué es OWASP? Guía de las 10 mejores aplicaciones de seguridad de OWASP". Veracode . Consultado el 10 de abril de 2018 .
6. Svartman, Daniel (12 de marzo de 2018). "El panorama de amenazas actuales y los diez principales de OWASP". ITProPortol . Consultado el 10 de abril de 2018 .
7. Duro (26 de diciembre de 2021). "CAGR del mercado de firewall de aplicaciones web (WAF) del 19,2% en 2021". Autoridad de cortafuegos . Consultado el 26 de diciembre de 2021 .
8. "El mercado de firewalls de aplicaciones web tendrá un valor de 5,48 mil millones de dólares para 2022". Revista CISO. 5 de octubre de 2017 . Consultado el 10 de abril de 2018 .
9. Maximillan Dermann; Mirko Dziadzka; Borís Hemkemeier; Alejandro Meisel; Matías Rohr; Thomas Schreiber (7 de julio de 2008). "Mejores prácticas de OWASP: uso de firewalls de aplicaciones web versión 1.0.5". OWASP . OWASP.
10. Consejo de normas de seguridad de datos PCI (octubre de 2008). "Suplemento informativo: revisiones de aplicaciones y firewalls de aplicaciones web aclarados versión 1.2" (PDF) . PCIDSS . PCI DSS.
11. Paul E. Negro; Elizabeth Fong; Vadim Okun; Romain Gaucher (enero de 2008). "Publicación especial NIST 500-269 Herramientas de garantía de software: Especificación funcional del escáner de seguridad de aplicaciones web versión 1.0" (PDF) . SAMATE NIST . SAMATE NIST.
12. Jason Pubal (13 de marzo de 2015). "Firewalls de aplicaciones web: técnicas empresariales" (PDF) . Instituto SANS . Sala de lectura InfoSec del Instituto SANS.
13. IPM (29 de julio de 2022). "Ingeniería inversa sobre cómo los WAF como Cloudflare identifican los bots". Corporación IPM . Corporación IPM.
14. "Repositorio de proyectos de conjuntos de reglas básicas". GitHub . 30 de septiembre de 2022.
15. "Proyecto de conjunto de reglas básicas de OWASP ModSecurity". OWASP .
16. "METODOLOGÍA DE PRUEBA Firewall de aplicaciones web 6.2". Laboratorios NSS . Laboratorios NSS . Consultado el 3 de mayo de 2018 .