¿Qué es un firewall de aplicaciones web?

Un firewall de aplicaciones web (Web Application Firewall, WAF) es un dispositivo que se implementa en el perímetro de la red, y su función es inspeccionar el tráfico entrante y saliente de las aplicaciones web. Puede filtrar y supervisar el tráfico para brindar protección contra ataques como la inyección SQL, las secuencias de comandos en sitios cruzados (XSS) y la falsificación de solicitudes entre sitios (CSRF).

Un WAF opera en la capa 7 de la red (la capa de aplicación). Si bien puede eludir una gran variedad de ataques a la capa de aplicación, no puede operar por sí solo y debe combinarse con otras herramientas de seguridad para brindar protección contra ataques dirigidos a otras capas de red o a otras partes del entorno de seguridad.

Más información Prueba gratuita

What is a Web Application Firewall (WAF)?

¿Cuál es la diferencia entre un WAF y un firewall?

Firewall es un término genérico que hace referencia al firmware que filtra el tráfico entrante y saliente en una red. Existen varias categorías dentro de esta definición general, las cuales se diferencian según el tipo de protección que proporcionan. Algunos ejemplos son la inspección con estado, el filtrado de paquetes, los servidores proxy y los firewalls de última generación (Next Generation Firewalls, NGFW).

 

El WAF es otro tipo de firewall que se distingue por la forma en que filtra los paquetes de datos. El WAF inspecciona la capa de aplicación de la red y puede eludir muchos ataques que son invisibles para otros tipos de firewalls. Por ejemplo, un ataque de inyección SQL no podría ser detectado por un firewall normal porque este no inspecciona las cargas útiles de las solicitudes de las aplicaciones, como las consultas SQL.

 

A diferencia de un firewall tradicional que puede bloquear el tráfico de rangos de IP específicos, geografías, etc., los WAF le permiten definir reglas que excluyen tipos específicos de comportamiento de aplicaciones que parecen maliciosos.

Tipos de firewalls de aplicaciones web

Existen tres tipos principales de servidores de aplicaciones web: WAF de red, WAF basado en host y WAF en la nube.

Dispositivo WAF

Generalmente basado en hardware, este WAF puede instalarse localmente utilizando equipos dedicados y lo más cerca posible de la aplicación en el sitio para reducir la latencia.

 

La mayoría de los WAF basados en hardware le permiten copiar reglas y configuraciones entre los distintos dispositivos, lo que permite implementaciones a gran escala en redes corporativas. La desventaja de un WAF de red es que requiere una gran inversión inicial y tiene unos gastos de mantenimiento continuos.

 

Una alternativa al WAF basado en hardware es ejecutar el WAF como un dispositivo virtual, ya sea de manera local, mediante el uso de tecnología de virtualización de funciones de red (Network Function Virtualization, NVF) o en la nube pública, mediante la implementación de una imagen de la máquina preconfigurada en la nube. Esto reduce el gasto de capital, pero aun así genera gastos generales de mantenimiento.

WAF basado en host

Este puede integrarse completamente en el código de su aplicación. Los beneficios de este modelo de implementación son los costos mucho más bajos y la personalización mejorada. Sin embargo, los WAF basados en host son más complejos de implementar: para ejecutarse de manera eficaz, estos requieren que se instalen bibliotecas específicas en el servidor de las aplicaciones y dependen de los recursos del servidor. El WAF también se convierte en una dependencia de la aplicación web que debe gestionarse durante todo el ciclo de vida del desarrollo.

WAF en la nube

Esta es una opción rentable que proporciona una solución WAF integral, con una implementación rápida y sin inversión inicial. Las soluciones WAF en la nube generalmente se basan en la suscripción y solo requieren una configuración simple del DNS o proxy para comenzar a operar. Los WAF basados en la nube tienen acceso a inteligencia sobre amenazas constantemente actualizada y también pueden ofrecer servicios administrados para ayudarlo a definir reglas de seguridad y responder a los ataques a medida que se producen.

 

El desafío con un WAF en la nube es que debe confiar en que su proveedor enrutará todo el tráfico a su aplicación web. Si el proveedor de WAF deja de funcionar, su sitio web también dejará de funcionar, y si el rendimiento es deficiente, el rendimiento de su sitio web se verá afectado. Por este motivo, la mayoría de los proveedores de WAF en la nube ofrecen una solución de protección integrada de WAF, CDN y DDoS para garantizar el tiempo de actividad y una latencia mínima.

¿Cómo funciona un firewall de aplicaciones web?

Un firewall de aplicaciones web consta de varios modelos de implementación posibles:

  • Hardware o dispositivo virtual
  • Software que se ejecuta en el mismo servidor web que la aplicación web
  • Servicio basado en la nube

 

En cada uno de estos modelos de implementación, el WAF siempre se coloca por delante de la aplicación web e intercepta todo el tráfico entre la aplicación e internet.

 

Lista blanca vs. lista negra

 

Un WAF puede operar en un modelo de lista blanca, mediante el cual solo se permite un tráfico de aplicaciones aceptable, o en un modelo de lista negra, mediante el cual se bloquea el tráfico cuyos patrones coincidan con los de ataque o reglas de seguridad conocidos.

 

WAFs intercepta las solicitudes HTTP/S, las inspecciona y solo las deja pasar si confirma que no son maliciosas. Del mismo modo, inspecciona las respuestas del servidor, comprobándolas en busca de patrones conocidos de ataques a aplicaciones web, como secuestro de sesión, desbordamiento de búfer, XSS, comunicaciones de comando y control (C&C) o denegación de servicio (DoS).

Capacidades WAF

Generalmente, los WAF ofrecen las siguientes capacidades:

 

  • Base de datos de firmas de ataque: estos son patrones que se pueden usar para identificar tráfico malicioso. Pueden incluir IP maliciosas conocidas, tipos de solicitudes, respuestas inusuales del servidor y más. En el pasado, los WAF se basaban principalmente en bases de datos de patrones de ataque, pero esta técnica es en gran medida ineficaz contra ataques nuevos y desconocidos.
  • Análisis IA/ML de patrones de tráfico : los WAF modernos realizan análisis del comportamiento del tráfico utilizando algoritmos de inteligencia artificial. Identifican líneas de base para tipos específicos de tráfico y capturan anomalías que podrían representar un ataque. Esto hace posible identificar ataques incluso si no coinciden con un patrón malicioso conocido.
  • Perfiles de aplicaciones : el WAF analiza la estructura web de la aplicación, incluidas las URL, las solicitudes típicas, los tipos de datos permitidos y los valores. Esto puede ayudar a identificar solicitudes anormales o maliciosas y bloquearlas.
  • Motor de personalización : el WAF permite a los operadores definir reglas de seguridad específicas para la organización o aplicación web y las aplica instantáneamente al tráfico de la aplicación. Esto es importante para permitir la personalización del comportamiento WAF y evitar bloquear el tráfico legítimo.
  • Motor de correlación:analiza el tráfico entrante y lo clasifica utilizando firmas de ataques conocidas, análisis de IA/ML, perfiles de aplicaciones y reglas personalizadas para determinar si se debe bloquear o no.
  • Protección DDoS:los WAF suelen integrarse con plataformas de protección de denegación distribuida como servicio (DDoS) basadas en la nube. Cuando el WAF detecta un ataque DDoS, puede bloquear las solicitudes y cambiar el tráfico al sistema de protección DDoS, que puede ampliarse para soportar grandes ataques volumétricos.
  • Red de entrega de contenido (CDN):debido a que los WAF se implementan en el borde de la red, los WAF basados en la nube también pueden proporcionar una CDN que almacena en caché el sitio web para mejorar el tiempo de carga del sitio web. El WAF/CDN se implementa en múltiples puntos de presencia (PoP) distribuidos en todo el mundo, y el sitio web se sirve a los usuarios a través del PoP más cercano.

Las desventajas de los WAF basados en reglas

Los WAF se implementan en el perímetro e intentan filtrar y bloquear el tráfico que se sospecha que es malicioso. Tradicionalmente, este filtrado se realizaba utilizando reglas, ya sea predeterminadas por el proveedor de WAF o personalizadas por la organización que implementa el WAF.

 

El problema con los WAF basados en reglas es que requieren un alto mantenimiento. Las organizaciones deben definir meticulosamente las reglas que coinciden con sus patrones de aplicación específicos, los cuales pueden cambiar con el tiempo a medida que se adoptan nuevas aplicaciones y que las aplicaciones evolucionan. Esto también hace que sea más difícil abordar los vectores de amenazas cambiantes, ya que los nuevos ataques podrían exigir nuevas reglas.

 

Un desafío adicional es operar un WAF en un entorno de microservicios. En una aplicación de microservicios de gran escala, se lanzan nuevas versiones de los microservicios varias veces al día. Es poco práctico implementar un WAF y actualizar los conjuntos de reglas para cada componente. Esto significa que, en muchos casos, los microservicios permanecerán sin la protección del WAF.

Protección de API y aplicaciones web de Check Point

La seguridad de aplicaciones, conocida como “AppSec”, siempre ha sido un desafío, pero dado que el desarrollo es cada vez más rápido, se ha vuelto casi imposible proteger las aplicaciones sin incurrir en el mantenimiento intensivo del WAF o en el bloqueo de usuarios legítimos.

CloudGuard AppSec de Check Point utiliza IA para brindar a los clientes una mejor cobertura de seguridad, con menores gastos generales.

Póngales fin a los falsos positivos y proteja las aplicaciones y las API con una solución automatizada que es tan rápida como DevOps y que proporciona una prevención precisa, una administración automática de las políticas y una implementación automatizada en cualquier entorno.

Comience su prueba gratuita y proteja sus aplicaciones ahora.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.