fbpx
Wikipedia

Web application firewall

Agosto 03, 2021

Un firewall de aplicaciones web (WAF) es un tipo de firewall que supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web. Se diferencia de un firewall normal en que puede filtrar el contenido de aplicaciones web específicas, mientras que un firewall de red protege el tráfico entre los servidores. Al inspeccionar el tráfico HTTP un WAF protege a las aplicaciones web contra ataques como los de inyección SQL, XSS y falsificación de petición de sitios cruzados (CSRF).

Historia

Los firewalls de aplicaciones, que controlan la entrada, la salida y el acceso desde aplicaciones o servicios, fueron desarrollados por primera vez a principios de la década de 1990 por Gene Spafford, Bill Cheswick y Marcus Ranum.[1]​ Este producto, comercializado por DEC, era básicamente un firewall de red, pero podía manejar datos de algunas aplicaciones (como FTP o Rsh). En los siguientes años otros investigadores desarrollaron ampliamente estos productos con el objetivo de proporcionar un software de firewall estable para que otros pudieran basarse en ellos, estableciendo los estándares para la industria en este campo.

Los firewalls de aplicaciones web dedicados llegaron al mercado más adelante en la misma década, cuando los ataques contra servidores web comenzaron a ser mucho más notorios.

La primera compañía en ofrecer un firewall de aplicaciones web dedicado fue Perfecto Technologies con su producto AppShield.[2]​ El AppShield estaba dirigido al mercado del comercio electrónico y protegía contra ataques basados en la introducción de caracteres ilegales en las páginas web. La compañía cambió su nombre a Sanctum,[3]​ e hizo un listado con las diez mejores técnicas de ataque a aplicaciones web, creando las bases para el mercado WAF:

En 2002 se creó el proyecto de código abierto ModSecurity[7]​ para hacer la tecnología WAF más accesible y resolver los obstáculos dentro de la industria, como casos de negocios, barreras de costos y los conjuntos de reglas particulares de cada empresa. ModSecurity creó un conjunto de reglas básicas para proteger las aplicaciones web, basado en las vulnerabilidades detectadas por el OASIS Web Application Security Technical Committee’s (WAS TC). En 2003, este trabajo fue ampliado y estandarizado con la creación de la Lista Top 10 del Open Web Application Security Project’s (OWASP). OWASP publica con cierta regularidad una lista con los 10 riesgos de seguridad más críticos de las aplicaciones web. Esta lista se convertiría en la referencia de la industria para muchos temas de seguridad en la web.

Desde entonces, el mercado ha seguido creciendo y evolucionando, afectando a la creciente industria del comercio electrónico con el aumento del fraude con tarjetas de crédito. Con el desarrollo del Payment Card Industry Data Security Standard (PCI DSS), un estándar para que las organizaciones incrementen los controles sobre los datos de los titulares de tarjetas, la seguridad está más regulada y se ha ampliado el interés en estos temas. El tamaño del mercado de WAF superó los 200 millones de dólares en 2010[8]​ y se espera que supere los 5000 millones en 2022 [9]​.

Descripción

Un firewall de aplicaciones web se instala por delante de las aplicaciones web y analiza el tráfico bidireccional que usa el protocolo HTTP (web), detectando y bloqueando tráfico malicioso. El OWASP ofrece una definición técnica amplia para un WAF. Se define un firewall de web como “una solución de seguridad a nivel de aplicación que, desde un punto de vista técnico, no depende de la propia aplicación.”[10]​ Un WAF aplica un conjunto de reglas en las conversaciones HTTP para proteger a las aplicaciones de ataques comunes como son cross-site scripting (XSS) e inyección de SQL. Mientras que los proxies protegen a clientes, los WAFs protegen a los servidores. Usualmente los WAFs se despliegan para proteger una aplicación web específica o un conjunto de aplicaciones web.

Según el suplemento de información PCI DSS requisito 6.6, un WAF se define como “un punto de refuerzo de las políticas de seguridad colocado entre una aplicación web y el cliente final. Esta funcionalidad puede implementarse en software o hardware, ejecutándose en un dispositivo específico o en un servidor típico con un sistema operativo común. Puede ser un dispositivo independiente o integrado en otros componentes de red.”[11]​ Es decir, un WAF puede ser un dispositivo físico o virtual que evita que elementos externos puedan explotar las vulnerabilidades que puedan tener las aplicaciones web. Estas vulnerabilidades pueden deberse al uso de tecnología antigua (legacy) o a una programación que no las ha tenido en cuenta por un diseño incorrecto. Un WAF puede paliar estas insuficiencias mediante el uso de conjuntos de reglas de configuración, llamadas también políticas (“policies”).

Se pueden descubrir vulnerabilidades previamente desconocidas con pruebas de penetración o con un escáner de vulnerabilidades. Un escáner de vulnerabilidad de aplicaciones web, también conocido como escáner de seguridad de aplicaciones web, se define en SAMATE NIST 500-269 como “un programa automatizado que examina las aplicaciones web en busca de posibles vulnerabilidades de seguridad. También busca errores de codificación de software.”[12]​ La resolución de vulnerabilidades generalmente se denomina reparación. Aunque posteriormente se puedan hacer correcciones en el código de la aplicación, se necesita una solución a corto plazo. En estas situaciones se crea una regla o política personalizada (“custom policy”) para paliar esa vulnerabilidad concreta, que soluciona el problema de forma temporal pero inmediata (conocida como parche virtual).

Un WAF no es una solución de seguridad definitiva. Sin embargo es una solución que debe ser utilizada junto con otras soluciones de seguridad como firewalls de red y sistemas de prevención de intrusos, para proporcionar una estrategia de defensa holística.

Los WAF normalmente siguen un modelo de seguridad positivo, un modelo de seguridad negativo o una combinación de los dos, según el SANS Institute.[13]​ Un WAF utiliza una combinación de lógica basada en reglas, análisis sintáctico y firmas para detectar y prevenir ataques como los de cross-site scripting o inyección de SQL. El OWASP publica una lista de los diez principales riesgos de seguridad de las aplicaciones web. Todos los WAF comerciales ofrecen al menos protección contra estos diez riesgos. También hay opciones no comerciales, como la solución de código abierto ModSecurity. Un motor WAF por si solo no es suficiente para ofrecer protección adecuada, por lo que OWASP, junto con el equipo Spiderlabs de Trustwave, ayudan a organizar y mantener un conjunto de reglas básicas que pueden ser utilizadas por el motor WAF de ModSecurity,[14]​ disponibles a través de GitHub.[15]

Opciones de implementación

Los WAF se implementan de tres maneras diferentes. Según NSS Labs, las opciones de implementación son: puente transparente (transparent bridge), proxy inverso transparente (transparent reverse proxy) y proxy inverso (reverse proxy). El término "transparente" se refiere al hecho de que el tráfico HTTP se envía directamente a la aplicación web. Por eso el WAF es transparente entre el cliente y el servidor. En cambio, con el proxy inverso el WAF actúa como un proxy y el tráfico del cliente se envía directamente al WAF, que a su vez envía el tráfico ya filtrado a las aplicaciones web. Esto puede proporcionar otros beneficios, como el enmascaramiento de IP, pero también tiene desventajas, como un menor rendimiento por el incremento de latencia.

Vendedores comerciales

Muchos WAF comerciales tienen características similares, pero las principales diferencias están realacionadas normalmente con las interfaces de usuario, opciones de implementación o requisitos para entornos específicos.

WAF basado en dispositivo

  • Barracuda Networks WAF
  • Citrix Netscaler Application Firewall
  • F5 Big-IP ASM
  • Fortinet FortiWeb
  • Imperva SecureSphere
  • Monitorapp AIWAF
  • Penta Security WAPPLES
  • Positive Technologies PT Application Firewall
  • Radware AppWall
  • Sophos XG Firewall

WAF basado en la nube

  • AIONCLOUD
  • Akamai Technologies Kona
  • Cloudbric
  • Cloudflare
  • F5 Silverline
  • Hukot.net WAF
  • Imperva Incapsula
  • QingCloud WAF
  • Radware
  • Sucuri Firewall
  • Webscale Cloud Secure

Opciones de código abierto

También hay soluciones de código abierto disponibles para cualquier público.

Referencias

  1. Alam, M. Afshar (2009). Recent Developments in Computing and Its Applications. K International House. 
  2. «Perfecto Technologies Delivers AppShield for E-Business - InternetNews.». www.internetnews.com. Consultado el 20 de septiembre de 2016. 
  3. «Identifying the 10 most common application-level hacker attacks - Page 1053900 - TechRepublic». TechRepublic. Consultado el 20 de septiembre de 2016. 
  4. https://www.owasp.org/index.php/Web_Parameter_Tampering
  5. https://www.owasp.org/index.php/Forced_browsing
  6. http://www.calavista.com/misconfiguration-can-leave-vulnerable-attackers/
  7. «ModSecurity homepage». ModSecurity. 
  8. . Archivado desde el original el 12 de abril de 2014. Consultado el 28 de noviembre de 2017. 
  9. https://www.cisomag.com/web-application-firewall-market-worth-5-48-billion-2022/
  10. Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber (7 de julio de 2008). «OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5». OWASP (en inglés). OWASP. 
  11. PCI Data Security Standards Council (octubre de 2008). «Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2» (PDF). PCI DSS. PCI DSS. 
  12. Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher (enero de 2008). «NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0». SAMATE NIST. SAMATE NIST. 
  13. Jason Pubal (13 de marzo de 2015). «Web Application Firewalls - Enterprise Techniques» (PDF). SANS Institute. SANS Institute InfoSec Reading Room. 
  14. . OWASP. Archivado desde el original el 26 de enero de 2017. Consultado el 28 de noviembre de 2017. 
  15. «Core-Rule Set Project Repository». GitHub. 
  •   Datos: Q25348457

Agosto 03, 2021
application, firewall, firewall, aplicaciones, tipo, firewall, supervisa, filtra, bloquea, tráfico, http, hacia, desde, aplicación, diferencia, firewall, normal, puede, filtrar, contenido, aplicaciones, específicas, mientras, firewall, protege, tráfico, entre,. Un firewall de aplicaciones web WAF es un tipo de firewall que supervisa filtra o bloquea el trafico HTTP hacia y desde una aplicacion web Se diferencia de un firewall normal en que puede filtrar el contenido de aplicaciones web especificas mientras que un firewall de red protege el trafico entre los servidores Al inspeccionar el trafico HTTP un WAF protege a las aplicaciones web contra ataques como los de inyeccion SQL XSS y falsificacion de peticion de sitios cruzados CSRF Indice 1 Historia 2 Descripcion 3 Opciones de implementacion 3 1 Vendedores comerciales 3 1 1 WAF basado en dispositivo 3 1 2 WAF basado en la nube 3 2 Opciones de codigo abierto 4 ReferenciasHistoria EditarLos firewalls de aplicaciones que controlan la entrada la salida y el acceso desde aplicaciones o servicios fueron desarrollados por primera vez a principios de la decada de 1990 por Gene Spafford Bill Cheswick y Marcus Ranum 1 Este producto comercializado por DEC era basicamente un firewall de red pero podia manejar datos de algunas aplicaciones como FTP o Rsh En los siguientes anos otros investigadores desarrollaron ampliamente estos productos con el objetivo de proporcionar un software de firewall estable para que otros pudieran basarse en ellos estableciendo los estandares para la industria en este campo Los firewalls de aplicaciones web dedicados llegaron al mercado mas adelante en la misma decada cuando los ataques contra servidores web comenzaron a ser mucho mas notorios La primera compania en ofrecer un firewall de aplicaciones web dedicado fue Perfecto Technologies con su producto AppShield 2 El AppShield estaba dirigido al mercado del comercio electronico y protegia contra ataques basados en la introduccion de caracteres ilegales en las paginas web La compania cambio su nombre a Sanctum 3 e hizo un listado con las diez mejores tecnicas de ataque a aplicaciones web creando las bases para el mercado WAF Manipulacion de campos hidden Envenenamiento de cookies cookie poisoning Alteracion de parametros 4 Desbordamiento de bufer Cross Site Scripting XSS Puertas traseras u opciones de depuracion Stealth commanding Navegacion forzada 5 Configuraciones erroneas de terceros 6 Agujeros de seguridad conocidosEn 2002 se creo el proyecto de codigo abierto ModSecurity 7 para hacer la tecnologia WAF mas accesible y resolver los obstaculos dentro de la industria como casos de negocios barreras de costos y los conjuntos de reglas particulares de cada empresa ModSecurity creo un conjunto de reglas basicas para proteger las aplicaciones web basado en las vulnerabilidades detectadas por el OASIS Web Application Security Technical Committee s WAS TC En 2003 este trabajo fue ampliado y estandarizado con la creacion de la Lista Top 10 del Open Web Application Security Project s OWASP OWASP publica con cierta regularidad una lista con los 10 riesgos de seguridad mas criticos de las aplicaciones web Esta lista se convertiria en la referencia de la industria para muchos temas de seguridad en la web Desde entonces el mercado ha seguido creciendo y evolucionando afectando a la creciente industria del comercio electronico con el aumento del fraude con tarjetas de credito Con el desarrollo del Payment Card Industry Data Security Standard PCI DSS un estandar para que las organizaciones incrementen los controles sobre los datos de los titulares de tarjetas la seguridad esta mas regulada y se ha ampliado el interes en estos temas El tamano del mercado de WAF supero los 200 millones de dolares en 2010 8 y se espera que supere los 5000 millones en 2022 9 Descripcion EditarUn firewall de aplicaciones web se instala por delante de las aplicaciones web y analiza el trafico bidireccional que usa el protocolo HTTP web detectando y bloqueando trafico malicioso El OWASP ofrece una definicion tecnica amplia para un WAF Se define un firewall de web como una solucion de seguridad a nivel de aplicacion que desde un punto de vista tecnico no depende de la propia aplicacion 10 Un WAF aplica un conjunto de reglas en las conversaciones HTTP para proteger a las aplicaciones de ataques comunes como son cross site scripting XSS e inyeccion de SQL Mientras que los proxies protegen a clientes los WAFs protegen a los servidores Usualmente los WAFs se despliegan para proteger una aplicacion web especifica o un conjunto de aplicaciones web Segun el suplemento de informacion PCI DSS requisito 6 6 un WAF se define como un punto de refuerzo de las politicas de seguridad colocado entre una aplicacion web y el cliente final Esta funcionalidad puede implementarse en software o hardware ejecutandose en un dispositivo especifico o en un servidor tipico con un sistema operativo comun Puede ser un dispositivo independiente o integrado en otros componentes de red 11 Es decir un WAF puede ser un dispositivo fisico o virtual que evita que elementos externos puedan explotar las vulnerabilidades que puedan tener las aplicaciones web Estas vulnerabilidades pueden deberse al uso de tecnologia antigua legacy o a una programacion que no las ha tenido en cuenta por un diseno incorrecto Un WAF puede paliar estas insuficiencias mediante el uso de conjuntos de reglas de configuracion llamadas tambien politicas policies Se pueden descubrir vulnerabilidades previamente desconocidas con pruebas de penetracion o con un escaner de vulnerabilidades Un escaner de vulnerabilidad de aplicaciones web tambien conocido como escaner de seguridad de aplicaciones web se define en SAMATE NIST 500 269 como un programa automatizado que examina las aplicaciones web en busca de posibles vulnerabilidades de seguridad Tambien busca errores de codificacion de software 12 La resolucion de vulnerabilidades generalmente se denomina reparacion Aunque posteriormente se puedan hacer correcciones en el codigo de la aplicacion se necesita una solucion a corto plazo En estas situaciones se crea una regla o politica personalizada custom policy para paliar esa vulnerabilidad concreta que soluciona el problema de forma temporal pero inmediata conocida como parche virtual Un WAF no es una solucion de seguridad definitiva Sin embargo es una solucion que debe ser utilizada junto con otras soluciones de seguridad como firewalls de red y sistemas de prevencion de intrusos para proporcionar una estrategia de defensa holistica Los WAF normalmente siguen un modelo de seguridad positivo un modelo de seguridad negativo o una combinacion de los dos segun el SANS Institute 13 Un WAF utiliza una combinacion de logica basada en reglas analisis sintactico y firmas para detectar y prevenir ataques como los de cross site scripting o inyeccion de SQL El OWASP publica una lista de los diez principales riesgos de seguridad de las aplicaciones web Todos los WAF comerciales ofrecen al menos proteccion contra estos diez riesgos Tambien hay opciones no comerciales como la solucion de codigo abierto ModSecurity Un motor WAF por si solo no es suficiente para ofrecer proteccion adecuada por lo que OWASP junto con el equipo Spiderlabs de Trustwave ayudan a organizar y mantener un conjunto de reglas basicas que pueden ser utilizadas por el motor WAF de ModSecurity 14 disponibles a traves de GitHub 15 Opciones de implementacion EditarLos WAF se implementan de tres maneras diferentes Segun NSS Labs las opciones de implementacion son puente transparente transparent bridge proxy inverso transparente transparent reverse proxy y proxy inverso reverse proxy El termino transparente se refiere al hecho de que el trafico HTTP se envia directamente a la aplicacion web Por eso el WAF es transparente entre el cliente y el servidor En cambio con el proxy inverso el WAF actua como un proxy y el trafico del cliente se envia directamente al WAF que a su vez envia el trafico ya filtrado a las aplicaciones web Esto puede proporcionar otros beneficios como el enmascaramiento de IP pero tambien tiene desventajas como un menor rendimiento por el incremento de latencia Vendedores comerciales Editar Muchos WAF comerciales tienen caracteristicas similares pero las principales diferencias estan realacionadas normalmente con las interfaces de usuario opciones de implementacion o requisitos para entornos especificos WAF basado en dispositivo Editar Barracuda Networks WAF Citrix Netscaler Application Firewall F5 Big IP ASM Fortinet FortiWeb Imperva SecureSphere Monitorapp AIWAF Penta Security WAPPLES Positive Technologies PT Application Firewall Radware AppWall Sophos XG FirewallWAF basado en la nube Editar AIONCLOUD Akamai Technologies Kona Cloudbric Cloudflare F5 Silverline Hukot net WAF Imperva Incapsula QingCloud WAF Radware Sucuri Firewall Webscale Cloud SecureOpciones de codigo abierto Editar Tambien hay soluciones de codigo abierto disponibles para cualquier publico ModSecurity NAXSIReferencias Editar Alam M Afshar 2009 Recent Developments in Computing and Its Applications K International House Perfecto Technologies Delivers AppShield for E Business InternetNews www internetnews com Consultado el 20 de septiembre de 2016 Identifying the 10 most common application level hacker attacks Page 1053900 TechRepublic TechRepublic Consultado el 20 de septiembre de 2016 https www owasp org index php Web Parameter Tampering https www owasp org index php Forced browsing http www calavista com misconfiguration can leave vulnerable attackers ModSecurity homepage ModSecurity Copia archivada Archivado desde el original el 12 de abril de 2014 Consultado el 28 de noviembre de 2017 https www cisomag com web application firewall market worth 5 48 billion 2022 Maximillan Dermann Mirko Dziadzka Boris Hemkemeier Alexander Meisel Matthias Rohr Thomas Schreiber 7 de julio de 2008 OWASP Best Practices Use of Web Application Firewalls ver 1 0 5 OWASP en ingles OWASP PCI Data Security Standards Council octubre de 2008 Information Supplement Application Reviews and Web Application Firewalls Clarified ver 1 2 PDF PCI DSS PCI DSS Paul E Black Elizabeth Fong Vadim Okun Romain Gaucher enero de 2008 NIST Special Publication 500 269 Software Assurance Tools Web Application Security Scanner Functional Specification Version 1 0 SAMATE NIST SAMATE NIST Jason Pubal 13 de marzo de 2015 Web Application Firewalls Enterprise Techniques PDF SANS Institute SANS Institute InfoSec Reading Room OWASP ModSecurity Core Rule Set Project OWASP Archivado desde el original el 26 de enero de 2017 Consultado el 28 de noviembre de 2017 Core Rule Set Project Repository GitHub Datos Q25348457Obtenido de https es wikipedia org w index php title Web application firewall amp oldid 128125634, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos