WAF como herramienta para mitigar vulnerabilidades

Los Web Application Firewall, o WAF, son dispositivos que supervisan la seguridad web, filtrando o bloqueando el tráfico hacia y desde una aplicación Web. Mientras que un firewall tradicional protege el tráfico entre servidores, el WAF protege el tráfico entre el servidor e Internet y de diferentes ataques Web tales como Cross Site Scripting, Remote and Local File Inclussion, SQL Injection, Buffer Overflows, Envenenamiento de cookies, etc.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

¿Y qué nos lleva hoy a hablar de WAF? Nada menos que un nuevo artículo publicado por Lori Macvittie, Principal Technical Evangelist de F5 Networks, en el blog de la compañía. Empieza explicando la ejecutiva que en el próximo informe State of Application Delivery 2018 de F5 se detectar un creciente uso de WAF, alfgo que considera bueno porque “las aplicaciones de hoy son la puerta de entrada a los datos corporativos y de los clientes, y los métodos tradicionales para controlar el acceso en la capa de red no son suficientes”, para a continuación exponer los tres métodos principales que utiliza un WAF para detectar y prevenir ataques web.

1. Denegar y permitir solicitudes

Explica la ejecutiva que este método es similar al funcionamiento de los firewalls de red: las solicitudes son denegadas o permitidas en base a la información disponible. Esa información podría ser simple, como una dirección IP, o podría ser más compleja y específica. En todo caso se hace uso de listas blancas/negras y Opciones Restrictivas.

En el primer caso, si se conoce la IP o conjunto de IPs maliciosas simplemente se bloquean. Incluso puede establecerse que una aplicación sólo esté autorizada a recibir peticiones de una serie de direcciones IP específicas. ¿Por qué no utilizar un firewall de red para hacerlo? Porque, explica Lori Macvittie, “si se necesitan proteger las aplicaciones en una nube pública, esto podría no ser una opción”.

Añade la evangelista de F5 que, si se trabaja con diferentes proveedores cloud, no se puede contar con que las políticas de firewall sean las mismas en todos los proveedores. Por el contrario, “aplicar las reglas en un WAF significa que puede usar la misma política en el mismo WAF en múltiples entornos. La consistencia es clave para el éxito y la escala de la seguridad”.

En cuanto a las Opciones Restrictivas, se refiere Macvittie al conjunto de instrucciones en HTTP METHODS o en HTTP OPTIONS. En este caso se puede utilizar el WAF “para restringir los valores posibles a solo aquellos que necesita para permitir la ejecución correcta de la aplicación”.

2. Firmas

Continúa Lori Macvittie explicando que las Firmas son otro método de protección común en muchas soluciones de seguridad, incluidos los antivirus, y también de los WAF. Habla de dos tipos de firmas: Definidas por el usuario y gestionadas por el fabricante, que suelen mantenerse en una base de datos que se actualiza cuando se identifican nuevas vulnerabilidades. La ventaja de las primeras es que permite a los operadores añadir nuevas firmas rápidamente, una capacidad importante para asegurar una respuesta rápida en caso, por ejemplo, de vulnerabilidades de Día Cero.

3. Inspección

La inspección está incluida para asegurar un control completo sobre las peticiones. Explica la ejecutiva de F5 que la inspección de solicitudes le permite al WAF comparar la información en la solicitud con cadenas y valores conocidos buenos / malos para determinar si la solicitud es maliciosa o legítima, y que para las aplicaciones HTTP “esta es la capacidad más importante que debe proporcionar WAF”.

Existen dos maneras de utilizar la inspección: encabezados conocidos y carga útil. En el primer caso explica Macvittie que hay un conjunto de encabezados bien definidos que cada solicitud HTTP lleva consigo; “en términos generales, un WAF puede analizar rápidamente los encabezados HTTP y habilitar su inspección”.

En cuanto a la inspección de la carga útil es como suena: inspecciona toda la carga útil, desde el primer byte hasta el último, para combinaciones conocidas de datos alfanuméricos que indican un intento de aprovechar una vulnerabilidad. “La inspección de carga permite a los operadores examinar los encabezados HTTP personalizados, así como el cuerpo de una solicitud de indicadores específicos de actividad maliciosa”, escribe Lori Macvittie en su post, añadiendo que al inspeccionar toda la carga útil, un WAF garantiza que, independientemente de dónde se encuentren los datos maliciosos, se puede detectar e impedir que alcance su objetivo.