Archivo de la etiqueta: Web Application Firewall

Podcast – 29 – WAF

En el capítulo de hoy hablaremos sobre los Web Applicaton Firewall (o simplemente WAF). La traducción al castellano podría ser «Cortafuegos para aplicaciones web», si bien este nombre no lo he visto nunca… y como en la gran mayoría de conceptos tecnológicos se usa el nombre o acrónimo inglés.

Micro con feed

Fuente imagen:PerfectYourPodcast

Los firewall (cortafuegos) permiten o bloquean el tráfico en función de su origen, destino o protocolo utilizado, mientras que un IDS/IPS realiza un análisis de la información transmitida para ver su es legítima o un posible ataque. Así vemos que como la función del WAF es precisamente analizar tráfico web, habría que identificar los sistemas WAF como una subcategoría de los sistemas IDS/IPS. Por esto podemos indicar que la palabra Firewall en el nombre de este sistema no es muy adecuada.

Los WAF analizan las peticiones y respuestas HTTP que gestiona una aplicación web. Así es posible buscar patrones de posibles ataques que busquen aprovecharse de una vulnerabilidad de nuestro sistema web.

Generalmente los fabricantes incorporan firmas genéricas para detectar los tipos de ataque más genéricos (inyecciones SQL, ataques XSS, etc.) En general aquellas amenazas que siempre salen en los informes OWASP.

Aunque estas firmas genéricas suelen funcionar bastante bien, la potencia de un WAF se demuestra cuando su administrador adapta o crea nuevas firmas específicamente pensadas para los sistemas web a los que da servicio.

La gran adaptabilidad es, simultáneamente, su fuerza y su punto débil ya que afinar un WAF implica un conocimiento importante de los servicios web a los que protege de tal forma que se puedan crear las firmas de patrones necesarias para detectar un posible ataque específicamente en nuestra web, usando las variables de la aplicación, etc.

Descarga directa.

WAF – Web Application Firewall

Un Web Application Firewall (WAF) es un sistema que analiza, filtra y bloquea el tráfico del protocolo HTTP que gestionan los servicios web. A pesar de incluir el término firewall en su nombre, podemos decir que los WAF son más bien una evolución de los IDS/IPS generalistas para cubrir específicamente la protección de los sistemas web. Los WAF analizan el tráfico el tráfico que capturan, no sólo por las direcciones IP y puertos, que es lo que haría un firewall; sino también por el contenido de las peticiones y respuestas transmitidas. Así el sistema trata de detectar diferentes patrones de ataques a servicios web (Inyecciones SQL, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), etc.).

WAF

Montaje tradicional de un sistema WAF.
Fuente imagen: Terminatio

Si bien las funciones que realiza un sistema WAF puede ser realizadas por los IPS tradicionales correctamente configurados, el gran desarrollo en los últimos años de las aplicaciones web ha hecho que sean cada vez un objetivo más goloso para los usuarios malintencionados y ha propiciado la creación de una herramienta específica para su protección.

Tal como se muestra en la imagen superior, aunque podríamos conectar el sistema WAF de forma independiente, generalmente se utiliza como una segunda capa de protección: un firewall tradicional bloquear todo el tráfico que no sea HTTP de manera que el sistema WAF sólo deba analizar y gestionar el tráfico web. Esta doble capa de seguridad permite que cada una de ellas sea más eficiente y genere el mínimo retraso posible en la comunicación. La actuación de un IDS/IPS, categoría dentro de la que cabría enmarcar los WAF, implica el análisis del tráfico capturado antes de decidir si darle paso o bloquearlo por lo que siempre habrá una latencia añadida al sistema. Para evitar que los usuarios noten esta latencia es importante que los WAF sólo deban analizar el tráfico que realmente tenga como destino las páginas web que protegen. Un sistema WAF en solitario es posible y funcional, pero no sería eficiente de cara al rendimiento de la aplicación web (que, al fin y al cabo, es lo que el usuario final nota).

Otra de las ventajas de los WAF frente a los IPS tradicionales son que, debido a su especificidad en la protección, incorporan herramientas específicas y adaptables a casi cualquier entorno web. Así es posible crear reglas específicas de protección para cada aplicación, con lo que al final se consigue un sistema de protección totalmente adaptado a las necesidades de cada cliente. Se trata de un cambio de paradigma de buscar ataques o vulnerabilidades conocidos por parte de un IPS a proteger específicamente nuestra web con sus peculiaridades específicas.

Esquema de un WAF Cloud

Diagrama de un WAF en la nube.
Fuente imagen: CDNetworks

Debido a la expansión de los servicios ‘en la nube’, muchos sistemas de seguridad que se crearon pensando en las estructuras tradicionales (cliente <> protección <> servicio) han debido integrarse también como servicios ofrecidos en la nube para poder mantener el mismo nivel de protección.


Como nota curiosa si buscáis por Internet WAF es posible que os encontréis con el Wife Acceptance Factor, que poco tiene que ver con la seguridad informática 😉