Anexo Web application firewall
Upcoming SlideShare
Loading in...5
×
 

Anexo Web application firewall

on

  • 183 views

Anexo del proyecto Web Application Firewall

Anexo del proyecto Web Application Firewall

Statistics

Views

Total Views
183
Views on SlideShare
116
Embed Views
67

Actions

Likes
0
Downloads
0
Comments
0

5 Embeds 67

http://malopezmoyano.blogspot.com.es 33
https://malopezmoyano.blogspot.com 26
http://malopezmoyano.blogspot.com 4
https://www.blogger.com 2
http://www.slideee.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Anexo Web application firewall Anexo Web application firewall Document Transcript

  • IES Gran Capitán Departamento de Informática Ciclo Formativo de Grado Superior de Administración de Sistemas Informáticos Módulo de Proyecto Integrado Miguel Ángel López Moyano – 2013/2014 Anexo: Web Application Firewall Curso 2013/2014 Índice de contenido 1.- Introducción.....................................................................................................................................2 2.- Cortafuegos de aplicación en la actualidad.....................................................................................2 2.1.- Modelos de seguridad..............................................................................................................2 2.2.- ¿Que ataques bloquea?.............................................................................................................3 2.3.- ¿Cómo funciona?.....................................................................................................................4 2.4.- Desventajas..............................................................................................................................5 2.5.-Algunos productos....................................................................................................................5 2.6.- Diferencias entre IPS y WAF...................................................................................................6 3.- Cortafuegos de aplicación basados en host.....................................................................................6 3.1.- Historia.....................................................................................................................................7 3.2.- Cortafuegos de aplicación Hardware.......................................................................................8 3.3.- Cortafuegos de aplicación Software......................................................................................10 3.3.1.- Mac OS X...................................................................................................................10 3.3.2.- Linux...........................................................................................................................10 3.3.3.- Windows.....................................................................................................................11 4.- Cortafuegos de aplicación especializados.....................................................................................11 4.1.- Historia..................................................................................................................................11 4.2.- Cortafuegos de aplicación distribuidos..................................................................................12 4.3.- Cortafuegos de aplicación basados en la nube .....................................................................13 IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • 1.- Introducción Un cortafuegos de aplicación basado en la red es un servidor de seguridad de redes de ordenador que opera en la capa de aplicación de una pila de protocolos, y también se le conoce como un servidor de seguridad de proxy o basado en proxy inverso. Los cortafuegos de aplicación específicos para un determinado tipo de tráfico de red pueden ser llamadas con el nombre del servicio, como por ejemplo un servidor de seguridad de aplicaciones web. Estos pueden ser implementados a través de software que se ejecuta en un host o un hardware independiente de red. A menudo, se trata de un host mediante diversas formas de servidores proxy para el tráfico antes de pasarlo al cliente o servidor. Debido a que actúa sobre la capa de aplicación, puede inspeccionar el contenido de tráfico, bloqueo de contenido especificado , como ciertos sitios web, virus o los intentos de aprovechar los fallos lógicos conocidas de software de cliente. Los cortafuegos de aplicación modernos también pueden descargar el cifrado de los servidores, la aplicación de bloques de entrada / salida de las intrusiones detectadas o de comunicación con formato incorrecto, gestionar o consolidar la autenticación, o el contenido del bloque que violen las políticas. 2.- Cortafuegos de aplicación en la actualidad Los Firewalls tradicionales trabajan en la capa de red pero no ofrecen ninguna clase de protección contra los ataques especializados en explotar vulnerabilidades web. Por eso, hablamos de los Web Application Firewall o WAF. Para empezar tenemos que decir que esta herramienta no es un sustitutivo de otras medidas de protección que debe llevar a cabo el desarrollador de la aplicación. El WAF es un dispositivo que puede ser hardware o software que analiza el tráfico web (entre el servidor web y la WAN) y protege de diversos ataques como SQL Injection, Cross Site Scripting, etc. Protege ataques dirigidos al servidor web que los IDS/IPS no pueden. No enruta el tráfico ni lo NATea, sino que se hacen 2 peticiones diferentes, una desde el cliente hasta el WAF y otra desde el WAF hasta el servidor web final. Pueden funcionar como bridge, router, proxy o plugin. Un ejemplo de WAF a nivel software es el mod_security (plugin de Apache). 2.1.- Modelos de Seguridad IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • • Positiva El WAF deniega por defecto todas las transacciones y solo acepta las que considera seguras. La definición de seguridad la recoge de una serie de reglas preestablecidas que se definen bien por auto-aprendizaje o bien por configuración manual. Es recomendable para aplicaciones que no están sujetas a modificaciones de diseño o funcionamiento con mucha regularidad ya que el mantenimiento de este modelo puede ser bastante complicado. Este modelo no depende de ningún tipo de actualización y puede proteger de ataques desconocidos, sin embargo puede detectar falsos positivos y necesitan un proceso de aprendizaje de funcionamiento de la aplicación. • Negativa El WAF acepta todas las transacciones y solo deniega las que considera como un ataque. Este modelo depende de actualizaciones de las posibles amenazas. Sin embargo son más fáciles de administrar que los anteriores ya que requieren de menos ajustes. 2.2.- ¿Qué ataques bloquea? Depende del fabricante del equipo pero la mayoría detectan los ataques más comunes. Puede analizar las variables que llegan por GET o POST, detectando así un buffer overflow. Puede analizar que los valores pasados por GET o POST no contengan valores usados por Cross Site Scripting o SQL Injection como “select from”, “unión”, “concat”, etc. Es muy importante tener en cuenta que si nuestra aplicación utiliza caracteres “extraños”, tendremos que configurar el WAF para que no estén incluidos en su “lista negra” o bien rediseñar la aplicación web para evitar estos caracteres. Algunos WAF también monitorizan las respuestas del servidor web. Si por ejemplo detecta cadenas IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • que identifica como cuentas bancarias puede denegar la respuesta al considerar que se trata de un ataque. Ejemplo del proceso de aprendizaje: Si nuestra página tiene una estructura así: GET http://miweb.com/producto.php?id=10, se creará automáticamente una regla que especifique esta estructura de tal manera que si se recibe la siguiente petición: GET http://miweb.com/producto.php?id=10‘ or 1=1 — el WAF denegará la petición por considerarla como un ataque o redirigirá a una página configurada de error. 2.3.- ¿Cómo funciona? El WAF puede funcionar de varias formas. Cada organización deberá elegir la que más se ajusta a sus necesidades. • Reverse Proxy: su funcionamiento se basa en un proxy inverso. Esto nos obliga a hacer cambios en las tablas de DNS o NAT de los firewalls, de manera que el tráfico que antes iba a las granjas de los servidores web directamente, ahora se direccionará a nuestro nuevo dispositivo. En la configuración del WAF tendremos que indicar el servidor/granja de servidores correspondiente al que enviar el tráfico. Se puede virtualizar, de manera que se puedan analizar varios dominios o aplicaciones con un solo dispositivo, de forma que según el dominio donde vaya se reenvie a un servidor/granja o a otro. Soportan las siguientes características: caching, compresión, aceleración SSL, balanceo de carga y pooling de conexiones. • Transparent Proxy: su funcionamiento es similar al anterior pero en este caso no tiene una dirección IP. Permiten interactuar en modo transparente. De esta forma no es necesario realizar cambios en la topología de red ni en el flujo del tráfico. Su desventaja respecto a los basados en proxy inverso es que requieren una parada de servicio mucho mayor en los despliegues. • Layer 2 Bridge: el WAF funciona como un switch de capa 2. Proporciona alto rendimiento y no implica cambios en la red, sin embargo no aporta servicios avanzados como otros modos lo hacen. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • • Network Monitor / Out of Band: El WAF inspecciona el tráfico de red a través de un sniffer monitorizando un puerto. Se puede configurar para que además bloquee cierto tráfico enviando reinicios TCP para interrumpir el mismo. • Host/Server Based: es software que se instala en los propios servidores web. En este caso se elimina cualquier problema de red adicional que pueda existir, pero hay que tener cuidado con su instalación en servidores web que tengan mucha carga ya de por sí. 2.4.- Desventajas Como hemos comentado anteriormente, debemos configurar el WAF correctamente ya que en otro caso pueden detectar continuos falsos positivos y denegar transacciones y en consecuencia pérdida de clientes o mala imagen de la aplicación. Por otra parte, pueden introducir algún retardo en el tiempo de respuesta de la aplicación. Para poder minimizar este inconveniente se pueden emplear aceleradores SSL (dispositivo hardware que se encarga de la capa de protección SSL y así libera de esta función a servidor web), usar webcache, comprimir datos, etc. 2.5.- Algunos productos • No comerciales: - ModSecurity-www.modsecurity.org. El WAF más utilizado es el proyecto de código abierto ModSecurity. Su empresa es Breach Security. ModSecurity normalmente utiliza un modelo de seguridad negativo. Ya hay desarrollos basados en este tipo de WAF como el que utiliza Apache añadiendo un módulo que contiene ModSecurity. Contiene un grupo de reglas que detectan los ataques web más comunes. Su consola centralizada permite recolectar logs y alertas, analizando el tráfico web y creando perfiles que pueden ser utilizados para implementar un modelo de seguridad positivo. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • - Microsoft URLScan Se trata de un filtro ISAPI que lee la configuración de un archivo .ini en el que se definen las restricciones. Corre en el propio servidor web. • Comerciales: Como herramientas comerciales, podemos mencionar a F5 (su módulo ASM para plataformas BIG-IP), rWeb o sProxy deDenyAll, Imperva, IBM DataPower (exclusivamente para servicios Web), Barracuda (que absorbió a NetContinuum), Citrix (después de comprar Teros), Breach Security. 2.6.- Diferencias entre IPS y WAF IPS (Intrusion Prevention System) escanea los paquetes que viajan por la red. Actúa de forma similar al IDS (Intrusion Detection System), comparando los datos de los paquetes de la red con una BBDD de firmas o detectando anomalías en lo que se le ha definido como “trafico normal”. Se diferencia del IDS en que el IPS además de recoger logs y alertas, se puede programar para reaccionar ante lo que detecte. Por este motivo es más completo que el IDS. IPS no tiene la capacidad de entender la lógica del funcionamiento de una aplicación web, por lo que no puede distinguir si una petición es normal o no y puede provocar falsos positivos. Básicamente la diferencia entre IPS y WAF está en que WAF tiene capacidad para analizar la capa 7 de red. Mientras que IPS compara el tráfico con patrones y anomalías, WAF examina el comportamiento y la lógica que se está enviando y devolviendo. 3.- Cortafuegos de aplicación basados en host Un firewall de aplicaciones basado en host puede monitorear las solicitudes de entrada, de salida, y/o de servicio del sistema realizadas desde, hacia, o por una aplicación. Esto se hace mediante el examen de la información que pasa a través de llamadas al sistema en lugar de o en adición a una pila de red. Un firewall de aplicaciones basadas en host sólo puede proporcionar protección a las aplicaciones que se ejecutan en el mismo host. Los cortafuegos de aplicación tienen la función de determinar si un proceso debe aceptar una IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • conexión determinada. Los cortafuegos de aplicación cumplen su función enganchando en llamadas de socket para filtrar las conexiones entre la capa de aplicación y las capas inferiores del modelo OSI. Los cortafuegos de aplicación que se enganchan en llamadas de socket también se les conoce como filtros de socket. Los cortafuegos de aplicación funcionan como un filtro de paquetes , pero los filtros de aplicación se aplican las reglas de filtrado (permitir / bloquear) en función de cada proceso en lugar de conexiones de filtrado en cada puerto . En general, los mensajes se utilizan para definir reglas para procesos que aún no han recibido una conexión. Es raro encontrar a los cortafuegos de aplicación sin combinarse o usarse en conjunción con un filtro de paquetes. Además, los cortafuegos de aplicación filtran aún más conexiones examinando el ID de proceso de paquetes de datos en contra de un conjunto de reglas para el proceso local que participan en la transmisión de datos. El alcance de la filtración que se produce se define por el conjunto de reglas proporcionado. Dada la gran variedad de software que existe, los cortafuegos de aplicación sólo tienen conjuntos de reglas más complejas para los servicios estándar, tales como los servicios compartidos. Estos conjuntos de reglas por procesos tienen una eficacia limitada en el filtrado de todas las asociaciones posibles que pueden ocurrir con otros procesos. Además, estos conjuntos de reglas para cada proceso no puede defenderse contra la modificación del proceso a través de la explotación. Debido a estas limitaciones, los firewalls de aplicaciones están comenzando a ser suplantado por una nueva generación de cortafuegos de aplicación que se basan en el control de acceso obligatorio (MAC), también conocida como sandboxing, para proteger los servicios vulnerables. Ejemplos de generación de cortafuegos de aplicación próximos basado en host que controlan las llamadas de servicio del sistema de una aplicación son AppArmor y TrustedBSD MAC (sandboxing) en Mac OS X. 3.1.- Historia Gene Spafford de la Universidad de Purdue, Bill Cheswick en los laboratorios de AT & T, y Marcus Ranum describen un servidor de seguridad de tercera generación conocido como un firewall de nivel de aplicación. El trabajo de Marcus Ranum en la tecnología impulsó la creación del primer producto comercial. El producto fue lanzado por DEC que lo nombró el producto DEC SEAL. La primera venta importante de DEC fue el 13 de junio 1991 a una empresa química con sede en la Costa Este de los EE.UU. En 1993 Marcus Ranum, Xu Wei, y Peter Churchyard desarrollaron el Firewall Toolkit (FWTK). Los propósitos para poner FWTK a libre disposición y no para uso comercial fueron: demostrar a través del software , la documentación y los métodos utilizados, cómo una empresa con 11 años de experiencia en métodos de seguridad formales y personas con experiencia en firewall, desarrollan un software de servidor de seguridad para crear una base común de software de firewall para que otros puedan construir sobre ella, y para "elevar el listón" de software de firewall que se utiliza. Sin embargo, FWTK era un proxy de aplicación básica que requiere la interacción del usuario. En 1994 , Xu Wei extendió el FWTK con la mejora de núcleo del filtro IP y el socket transparente. Este fue el primer cortafuegos transparente más allá de un proxy de aplicación tradicional, lanzado como Gauntlet Firewall. Gauntlet Firewall fue calificado como uno de los número 1 en firewalls desde 1995 hasta que fue adquirida por Network Associates Inc, (NAI ) en 1998. El mayor beneficio del filtrado de aplicaciones es que se puede "entender" ciertas aplicaciones y protocolos (como el protocolo de transferencia de archivos , DNS o la navegación web), y es capaz de detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de alguna manera perjudicial de un protocolo. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • 3.2.- Cortafuegos de aplicación hardware Barracuda Web Application Firewal 360 - Entre 1 y 5 Servidores - Rendimiento: 25 Mbps - 3000 Transacciones HTTP por segundo. - 2000 Transacciones SSL por segundo. Características: • Validación de los protocolos HTTP/S, FTP • Validación de metadatos de campos de formulario • Encubrimiento de sitio web • Control de respuesta • Protección contra robo de datos. • Control de subida de archivos. • Registro, supervisión y presentación de informes • Descarga SSL • Autenticación y autorización • Integración de scanner de vulnerabilidad • Gestión centralizada • Reputación de cliente por IP • Cortafuegos de red • Alta disponibilidad : Activo / Pasivo Cisco ACE Web Application Firewall Características: • Proxy inverso • Modo monitor • Desbordamiento del búfer IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • • Bloqueo de byte nulo • Normalización de codificación de entrada • Acciones de cortafuegos flexibles. • Manipulación de cookies y sesiones. • Cross-site scripting (XSS) • Inyección de comandos e inyección SQL. • Modelos de seguridad positiva y negativa. • Reglas y firmas personalizadas • Algoritmos criptográficos • Soporte completo para SSL v2/3 con conjuntos de cifrados configurables. • Protección contra robo de datos. • Encubrimiento de sitio web. • SNMP Citrix NetScaler Application Firewall Características: • Reescritura de comandos entre sitios. • Falsificación de la solicitud entre sitios. • Inyección de comandos e inyección SQL. • Seguridad XML • Desbordamiento del búfer • Protección contra robo de datos • Protección contra ataques conocidos y desconocidos adicionales • Autenticación y autorización • Cross-site scripting (XSS) • Descarga SSL • Manipulación de cookies y sesiones • SNMP • Algoritmos criptográficos • Filtrado de contenidos. • Validación de metadatos de campos de formulario • Transformación de URL. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • 3.3.- Cortafuegos de aplicación software 3.3.1.- Mac OS X Mac OS X, a partir de Leopard, incluye una implementación del framework TrustedBSD MAC, que viene de FreeBSD. El framework TrustedBSD MAC se utiliza como sandbox para algunos servicios, tales como mDNSResponder. El framework TrustedBSD MAC proporciona una capa por defecto del cortafuegos dada la configuración predeterminada de los servicios para compartir en Mac OS X Leopard y Snow Leopard. El servidor de seguridad de aplicaciones ubicados en las preferencias de seguridad de Mac OS X Leopard ofrece la funcionalidad de este tipo de cortafuegos de forma limitada a través de la utilización de aplicaciones de firma de código agregado a la lista de firewall. Principalmente, este servidor de seguridad de aplicaciones sólo gestiona las conexiones de red mediante una comprobación para ver si las conexiones entrantes se dirigen hacia una aplicación en la lista del firewall y se aplica la regla (block / allow) especificado para esas aplicaciones. 3.3.2.- Linux Esta es una lista de paquetes de software de seguridad para Linux que permiten el filtrar la comunicación entre la aplicación y el sistema operativo: • AppArmor: es un programa de seguridad para Linux, lanzado bajo la licencia GPL. Actualmente se encarga de mantenerlo la empresa Novell. AppArmor permite al administrador del sistema asociar a cada programa un perfil de seguridad que restrinja las capacidades de ese programa. Complementa el modelo tradicional de control de acceso discrecional de Unix (DAC) proporcionando el control de acceso obligatorio (MAC). Además de la especificación manual de perfiles, AppArmor incluye un modo de aprendizaje, en el que las violaciones del perfil son registradas pero no prevenidas. Este registro puede utilizarse para crear un perfil basado en el comportamiento típico del programa. Está implementado utilizando la interfaz del núcleo "Linux Security Modules". • ModSecurity: es un firewall de aplicaciones web embebible que ejecuta como módulo del servidor web Apache, provee protección contra diversos ataques hacia aplicaciones web y permite monitorizar tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente. ModSecurity para Apache es un producto desarrollado por Breach Security. ModSecurity está disponible como Software Libre bajo la licencia GNU General Public License, a su vez, se encuentra disponible bajo diversas licencias comerciales. • Systrace: es una utilidad de seguridad informática que limita el acceso de la aplicación al sistema mediante la aplicación de políticas de acceso para llamadas al sistema. Esto puede mitigar los efectos de los desbordamientos de búfer y otras vulnerabilidades de seguridad. Fue desarrollado por Niels Provos y se ejecuta en varios sistemas operativos tipo Unix. • Zorp es una suite proxy firewall desarrollada por BalaBit . Su núcleo permite al administrador analizar completamente protocolos (como SSL con POP3 integrado o el protocolo HTTP) . FTP, HTTP , FINGER , WHOIS , Telnet y SSL son totalmente compatibles con una puerta de enlace de nivel de aplicación. Zorp se libera en una versión bajo licencia GNU GPL y una versión comercial con algunas IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • características adicionales. Admite los protocolos: Finger , FTP, HTTP , POP3, NNTP , IMAP4 , RDP , RPC , SIP , SSL , SSH , Telnet, Whois , LDAP , RADIUS , TFTP, SQLNet NET8 y Rsh. 3.3.3.- Windows • WebKnight: es un firewall de aplicaciones para IIS y otros servidores web y se distribuye bajo la Licencia Pública General GNU. Más concretamente, es un filtro ISAPI que asegura su servidor web mediante el bloqueo de ciertas peticiones. Si se activa una alerta WebKnight se hará cargo y proteger el servidor web. Lo hace mediante el escaneo de todas las solicitudes de tratamiento y transformación en base a las reglas de filtrado, establecidas por el administrador. Estas reglas no se basan en una base de datos de firmas de ataques que requieren actualizaciones regulares. En lugar WebKnight utiliza filtros de seguridad como de desbordamiento de búfer, inyección SQL, recorrido de directorio, codificación de caracteres y otros ataques.WebKnight manera puede proteger el servidor contra todos los ataques conocidos y desconocidos. • WinGate: es un software de gestión de gateway integrado para Microsoft Windows, que proporciona almacenamiento caché web y servicios de firewall y NAT, junto con una serie de servidores proxy integrados y servicios de correo electrónico (servidores SMTP, POP3 e IMAP). WinGate está disponible en tres versiones, Standard, Professional y Enterprise. La edición Enterprise también proporciona un sistema de red privada virtual de fácil configuración, que también está disponible por separado como WinGate VPN. Las licencias se basan en el número de usuarios conectados simultáneamente. 4.- Cortafuegos de aplicación especializados 4.1.- Historia Ataques a gran escala de hackers sobre servidores web, como el xploit PHF CGI de 1996 , condujo a la investigación sobre los modelos de seguridad para proteger las aplicaciones web. Este fue el comienzo de lo que se conoce actualmente como el firewall de aplicaciones web (WAF). Los primeros participantes en el mercado comenzaron a aparecer en 1999, como AppShield de Perfecto Software, que más tarde cambió su nombre por el de Sanctum , y en 2004 fue adquirida por Watchfire (adquirida por IBM en 2007) , que se centró principalmente en la mercado de comercio electrónico y la protección contra entradas de caracteres página web ilegales. NetContinuum (adquirida por Barracuda Networks en el 2007 ) se acercó al problema proporcionando pre- configurados "servidores de seguridad". En 2002, ModSecurity, proyecto de código abierto dirigido por Thinking Stone y posteriormente adquirida por Breach Security en 2006 se formó con la misión de resolver estos obstáculos y hacer que la tecnología WAF fuera accesible para todas las empresas. Con el lanzamiento del conjunto de reglas principal, una única regla de código abierto establecido para la protección de aplicaciones web , con base en (WAS TC) Trabajo vulnerabilidad del Comité Técnico de OASIS Web Application Security , el mercado tenía un estable, bien documentado y estandarizado modelo a IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • seguir. En 2003, el trabajo de WAS TC se amplió y estandarizado en toda la industria a través de la lista Top 10 del Proyecto de Seguridad Abierta de Aplicaciones Web (OWASP) . Este ranking anual es un esquema de clasificación para las vulnerabilidades de seguridad web , un modelo para proporcionar orientación para la amenaza inicial , el impacto, y una manera de describir las condiciones que pueden ser utilizados por las herramientas tanto de evaluación y de protección, como un WAF . Esta lista se convertiría en el referente de la industria. En 2004 , los grandes proveedores de gestión de tráfico y de seguridad , sobre todo en la capa de red , entraron en el mercado de los WAF a través de un oleada de fusiones y adquisiciones. La que fue clave fue la de mediados de año de F5 para adquirir Magnifire WebSystems , y la integración de la solución de software TrafficShield de éste con el sistema de gestión del tráfico Big- IP de la primera. Este mismo año, F5 adquirió AppShield y discontinuó la tecnología. Una mayor consolidación se produjo en 2006 con la adquisición de Kavado por Protegrity , y la compra de Teros Citrix Systems. Hasta este punto , el mercado de los WAF fue dominado por los proveedores de nicho que se centraron en la seguridad de capa de aplicación web. Ahora el mercado está firmemente dirigido a la integración de productos WAF con las grandes tecnologías de red, de balanceo de carga , servidores de aplicaciones , servidores de seguridad de red, etc., y comenzó una oleada de cambios de marca , cambios de nombre y el reposicionamiento de la WAF . Las opciones eran confusas , caras y todavía casi no comprendidas por el mercado. En 2006 , se formó el Web Application Security Consortium para ayudar a darle sentido al mercado WAF ahora ampliamente divergentes. Apodado el proyecto de Criterios de Evaluación Firewall de Aplicaciones Web (WAFEC), esta comunidad abierta de los usuarios, los proveedores, los círculos académicos y los analistas e investigadores independientes crearon un criterio común de evaluación para su aprobación WAF que aún se mantiene en la actualidad. En el año 2010, el mercado de WAF se había convertido en un mercado de más de 200 millones de dólares según Forrester. 4.2.- Cortafuegos de aplicación distribuidos Los cortafuegos de aplicación distribuidos están completamente basados en software y su arquitectura está diseñada para separar componentes de forma que estén separados dentro de una red. Este avance en la arquitectura permite que el consumo de recursos se propaguen a través de una red, en lugar de depender de un solo dispositivo, al tiempo que permite total libertad para escalar a medida que sea necesario. En particular, permite la adición - sustracción de cualquier número de componentes de forma independiente el uno del otro para una mejor gestión de los recursos. Este método es ideal para grandes y distribuidas infraestructuras virtualizadas, como los modelos de nubes privadas, públicas o híbridas. En el siguiente esquema vemos como sería el funcionamiento de un cortafuegos de aplicación distribuido: IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • Como puede verse el WAF tiene sus módulos distribuidos. Lo más habitual es encontrar los WAF distribuidos en la nube. 4.3.- Cortafuegos de aplicación basados en la nube Los cortafuegos de aplicación basados en la nube tienen la particularidad de que son independientes de la plataforma que se esté utilizando y no requiere hacer cambios hardware o software en el host. Sólo se requiere un cambio en el DNS para que todo el tráfico se enrute al WAF y así pueda inspeccionarse para detectar posibles ataques. Los cortafuegos de aplicación basados en la nube son normalmente servicios centralizados, esto quiere decir que la información acerca de los intentos de ataque se comparte entre todos los usuarios del WAF. Esta colaboración permite mejorar las tasas de detección y así encontrar menos cantidad de falsos positivos. Al igual que otras soluciones basadas en la nube, esta tecnología es elástica, escalable y se ofrece normalmente como un “pay-as-you grow service”, que significa que pagas más cuanto más necesites. Este método es ideal para las aplicaciones web basadas en la nube y los sitios web de IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
  • pequeñas y medianas empresas que requieren seguridad de las aplicaciones web, pero no están dispuestos o son capaces de hacer cambios software o hardware en sus sistemas. Aquí podemos ver como funcionaría un cortafuegos de aplicación basado en la nube. Algunos ejemplos: • XyberShield es el único WAF basado en la nube que no requiere un cambio de DNS. • En 2010 Imperva sacó Incapsula para proveer a las pequeñas y medianas empresas de un WAF basado en la nube. • Akamai Technologies ofrece una WAF basado en la nube que incorpora características avanzadas tales como control de la frecuencia y reglas personalizadas que permitan abordar tanto la capa 7 como los ataques DDoS . • Desde 2012, Penta Security Systems, Inc. ofrece un WAF basado en la nube , llamada WAPPLES V-Series al público con la asociación estratégica con ISPs. • Cloudflare • Shaka Technologies ofrece Ishlangu Load Balancer ADC como WAF basado en la nube. • Armorlogic Profense Web Application Firewall • EasyWAF ofrecido por BinarySEC • ClearWeb propuesto por Nexusguard • En 2013, dos estudiantes desarrollaron un CWAF de código abierto llamado Ghaim, basado en ModSecurity y Nginx. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org