Este documento proporciona información sobre cortafuegos de aplicación (WAF). Explica que un WAF analiza el tráfico web entre el servidor web y la red y protege contra ataques como inyección SQL y cross-site scripting. También describe cómo funcionan los WAF, los ataques que bloquean, productos comerciales y de código abierto, y las diferencias entre WAF e IPS.
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Anexo Web application firewall
1. IES Gran Capitán
Departamento de Informática
Ciclo Formativo de Grado Superior de
Administración de Sistemas Informáticos
Módulo de Proyecto Integrado
Miguel Ángel López Moyano – 2013/2014
Anexo: Web Application Firewall
Curso 2013/2014
Índice de contenido
1.- Introducción.....................................................................................................................................2
2.- Cortafuegos de aplicación en la actualidad.....................................................................................2
2.1.- Modelos de seguridad..............................................................................................................2
2.2.- ¿Que ataques bloquea?.............................................................................................................3
2.3.- ¿Cómo funciona?.....................................................................................................................4
2.4.- Desventajas..............................................................................................................................5
2.5.-Algunos productos....................................................................................................................5
2.6.- Diferencias entre IPS y WAF...................................................................................................6
3.- Cortafuegos de aplicación basados en host.....................................................................................6
3.1.- Historia.....................................................................................................................................7
3.2.- Cortafuegos de aplicación Hardware.......................................................................................8
3.3.- Cortafuegos de aplicación Software......................................................................................10
3.3.1.- Mac OS X...................................................................................................................10
3.3.2.- Linux...........................................................................................................................10
3.3.3.- Windows.....................................................................................................................11
4.- Cortafuegos de aplicación especializados.....................................................................................11
4.1.- Historia..................................................................................................................................11
4.2.- Cortafuegos de aplicación distribuidos..................................................................................12
4.3.- Cortafuegos de aplicación basados en la nube .....................................................................13
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
2. 1.- Introducción
Un cortafuegos de aplicación basado en la red es un servidor de seguridad de redes de ordenador
que opera en la capa de aplicación de una pila de protocolos, y también se le conoce como un
servidor de seguridad de proxy o basado en proxy inverso.
Los cortafuegos de aplicación específicos para un determinado tipo de tráfico de red pueden ser
llamadas con el nombre del servicio, como por ejemplo un servidor de seguridad de aplicaciones
web. Estos pueden ser implementados a través de software que se ejecuta en un host o un hardware
independiente de red. A menudo, se trata de un host mediante diversas formas de servidores proxy
para el tráfico antes de pasarlo al cliente o servidor. Debido a que actúa sobre la capa de aplicación,
puede inspeccionar el contenido de tráfico, bloqueo de contenido especificado , como ciertos sitios
web, virus o los intentos de aprovechar los fallos lógicos conocidas de software de cliente.
Los cortafuegos de aplicación modernos también pueden descargar el cifrado de los servidores, la
aplicación de bloques de entrada / salida de las intrusiones detectadas o de comunicación con
formato incorrecto, gestionar o consolidar la autenticación, o el contenido del bloque que violen las
políticas.
2.- Cortafuegos de aplicación en la actualidad
Los Firewalls tradicionales trabajan en la capa de red pero no ofrecen ninguna clase de protección
contra los ataques especializados en explotar vulnerabilidades web. Por eso, hablamos de los Web
Application Firewall o WAF.
Para empezar tenemos que decir que esta herramienta no es un sustitutivo de otras medidas de
protección que debe llevar a cabo el desarrollador de la aplicación.
El WAF es un dispositivo que puede ser hardware o software que analiza el tráfico web (entre el
servidor web y la WAN) y protege de diversos ataques como SQL Injection, Cross Site Scripting,
etc. Protege ataques dirigidos al servidor web que los IDS/IPS no pueden. No enruta el tráfico ni lo
NATea, sino que se hacen 2 peticiones diferentes, una desde el cliente hasta el WAF y otra desde el
WAF hasta el servidor web final.
Pueden funcionar como bridge, router, proxy o plugin.
Un ejemplo de WAF a nivel software es el mod_security (plugin de Apache).
2.1.- Modelos de Seguridad
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
3. • Positiva
El WAF deniega por defecto todas las transacciones y solo acepta las que considera seguras.
La definición de seguridad la recoge de una serie de reglas preestablecidas que se definen
bien por auto-aprendizaje o bien por configuración manual.
Es recomendable para aplicaciones que no están sujetas a modificaciones de diseño o
funcionamiento con mucha regularidad ya que el mantenimiento de este modelo puede ser
bastante complicado.
Este modelo no depende de ningún tipo de actualización y puede proteger de ataques
desconocidos, sin embargo puede detectar falsos positivos y necesitan un proceso de
aprendizaje de funcionamiento de la aplicación.
• Negativa
El WAF acepta todas las transacciones y solo deniega las que considera como un ataque.
Este modelo depende de actualizaciones de las posibles amenazas. Sin embargo son más
fáciles de administrar que los anteriores ya que requieren de menos ajustes.
2.2.- ¿Qué ataques bloquea?
Depende del fabricante del equipo pero la mayoría detectan los ataques más comunes.
Puede analizar las variables que llegan por GET o POST, detectando así un buffer overflow.
Puede analizar que los valores pasados por GET o POST no contengan valores usados por Cross
Site Scripting o SQL Injection como “select from”, “unión”, “concat”, etc.
Es muy importante tener en cuenta que si nuestra aplicación utiliza caracteres “extraños”, tendremos
que configurar el WAF para que no estén incluidos en su “lista negra” o bien rediseñar la aplicación
web para evitar estos caracteres.
Algunos WAF también monitorizan las respuestas del servidor web. Si por ejemplo detecta cadenas
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
4. que identifica como cuentas bancarias puede denegar la respuesta al considerar que se trata de un
ataque.
Ejemplo del proceso de aprendizaje:
Si nuestra página tiene una estructura así: GET http://miweb.com/producto.php?id=10, se creará
automáticamente una regla que especifique esta estructura de tal manera que si se recibe la siguiente
petición: GET http://miweb.com/producto.php?id=10‘ or 1=1 — el WAF denegará la petición por
considerarla como un ataque o redirigirá a una página configurada de error.
2.3.- ¿Cómo funciona?
El WAF puede funcionar de varias formas. Cada organización deberá elegir la que más se ajusta a
sus necesidades.
• Reverse Proxy: su funcionamiento se basa en un proxy inverso. Esto nos obliga a hacer
cambios en las tablas de DNS o NAT de los firewalls, de manera que el tráfico que antes iba
a las granjas de los servidores web directamente, ahora se direccionará a nuestro nuevo
dispositivo.
En la configuración del WAF tendremos que indicar el servidor/granja de servidores
correspondiente al que enviar el tráfico. Se puede virtualizar, de manera que se puedan
analizar varios dominios o aplicaciones con un solo dispositivo, de forma que según el
dominio donde vaya se reenvie a un servidor/granja o a otro.
Soportan las siguientes características: caching, compresión, aceleración SSL, balanceo de
carga y pooling de conexiones.
• Transparent Proxy: su funcionamiento es similar al anterior pero en este caso no tiene una
dirección IP. Permiten interactuar en modo transparente. De esta forma no es necesario
realizar cambios en la topología de red ni en el flujo del tráfico. Su desventaja respecto a los
basados en proxy inverso es que requieren una parada de servicio mucho mayor en los
despliegues.
• Layer 2 Bridge: el WAF funciona como un switch de capa 2. Proporciona alto rendimiento y
no implica cambios en la red, sin embargo no aporta servicios avanzados como otros modos
lo hacen.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
5. • Network Monitor / Out of Band: El WAF inspecciona el tráfico de red a través de un sniffer
monitorizando un puerto. Se puede configurar para que además bloquee cierto tráfico
enviando reinicios TCP para interrumpir el mismo.
• Host/Server Based: es software que se instala en los propios servidores web. En este caso se
elimina cualquier problema de red adicional que pueda existir, pero hay que tener cuidado
con su instalación en servidores web que tengan mucha carga ya de por sí.
2.4.- Desventajas
Como hemos comentado anteriormente, debemos configurar el WAF correctamente ya que en otro
caso pueden detectar continuos falsos positivos y denegar transacciones y en consecuencia pérdida
de clientes o mala imagen de la aplicación.
Por otra parte, pueden introducir algún retardo en el tiempo de respuesta de la aplicación. Para
poder minimizar este inconveniente se pueden emplear aceleradores SSL (dispositivo hardware que
se encarga de la capa de protección SSL y así libera de esta función a servidor web), usar webcache,
comprimir datos, etc.
2.5.- Algunos productos
• No comerciales:
- ModSecurity-www.modsecurity.org.
El WAF más utilizado es el proyecto de código abierto ModSecurity. Su empresa es Breach
Security.
ModSecurity normalmente utiliza un modelo de seguridad negativo. Ya hay desarrollos
basados en este tipo de WAF como el que utiliza Apache añadiendo un módulo que contiene
ModSecurity.
Contiene un grupo de reglas que detectan los ataques web más comunes.
Su consola centralizada permite recolectar logs y alertas, analizando el tráfico web y creando
perfiles que pueden ser utilizados para implementar un modelo de seguridad positivo.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
6. - Microsoft URLScan
Se trata de un filtro ISAPI que lee la configuración de un archivo .ini en el que se definen las
restricciones. Corre en el propio servidor web.
• Comerciales:
Como herramientas comerciales, podemos mencionar a F5 (su módulo ASM para
plataformas BIG-IP), rWeb o sProxy deDenyAll, Imperva, IBM DataPower (exclusivamente
para servicios Web), Barracuda (que absorbió a NetContinuum), Citrix (después de comprar
Teros), Breach Security.
2.6.- Diferencias entre IPS y WAF
IPS (Intrusion Prevention System) escanea los paquetes que viajan por la red. Actúa de forma
similar al IDS (Intrusion Detection System), comparando los datos de los paquetes de la red con una
BBDD de firmas o detectando anomalías en lo que se le ha definido como “trafico normal”. Se
diferencia del IDS en que el IPS además de recoger logs y alertas, se puede programar para
reaccionar ante lo que detecte. Por este motivo es más completo que el IDS.
IPS no tiene la capacidad de entender la lógica del funcionamiento de una aplicación web, por lo
que no puede distinguir si una petición es normal o no y puede provocar falsos positivos.
Básicamente la diferencia entre IPS y WAF está en que WAF tiene capacidad para analizar la capa 7
de red.
Mientras que IPS compara el tráfico con patrones y anomalías, WAF examina el comportamiento y
la lógica que se está enviando y devolviendo.
3.- Cortafuegos de aplicación basados en host
Un firewall de aplicaciones basado en host puede monitorear las solicitudes de entrada, de salida,
y/o de servicio del sistema realizadas desde, hacia, o por una aplicación. Esto se hace mediante el
examen de la información que pasa a través de llamadas al sistema en lugar de o en adición a una
pila de red. Un firewall de aplicaciones basadas en host sólo puede proporcionar protección a las
aplicaciones que se ejecutan en el mismo host.
Los cortafuegos de aplicación tienen la función de determinar si un proceso debe aceptar una
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
7. conexión determinada. Los cortafuegos de aplicación cumplen su función enganchando en llamadas
de socket para filtrar las conexiones entre la capa de aplicación y las capas inferiores del modelo
OSI. Los cortafuegos de aplicación que se enganchan en llamadas de socket también se les conoce
como filtros de socket. Los cortafuegos de aplicación funcionan como un filtro de paquetes , pero
los filtros de aplicación se aplican las reglas de filtrado (permitir / bloquear) en función de cada
proceso en lugar de conexiones de filtrado en cada puerto . En general, los mensajes se utilizan para
definir reglas para procesos que aún no han recibido una conexión. Es raro encontrar a los
cortafuegos de aplicación sin combinarse o usarse en conjunción con un filtro de paquetes.
Además, los cortafuegos de aplicación filtran aún más conexiones examinando el ID de proceso de
paquetes de datos en contra de un conjunto de reglas para el proceso local que participan en la
transmisión de datos. El alcance de la filtración que se produce se define por el conjunto de reglas
proporcionado. Dada la gran variedad de software que existe, los cortafuegos de aplicación sólo
tienen conjuntos de reglas más complejas para los servicios estándar, tales como los servicios
compartidos. Estos conjuntos de reglas por procesos tienen una eficacia limitada en el filtrado de
todas las asociaciones posibles que pueden ocurrir con otros procesos. Además, estos conjuntos de
reglas para cada proceso no puede defenderse contra la modificación del proceso a través de la
explotación. Debido a estas limitaciones, los firewalls de aplicaciones están comenzando a ser
suplantado por una nueva generación de cortafuegos de aplicación que se basan en el control de
acceso obligatorio (MAC), también conocida como sandboxing, para proteger los servicios
vulnerables. Ejemplos de generación de cortafuegos de aplicación próximos basado en host que
controlan las llamadas de servicio del sistema de una aplicación son AppArmor y TrustedBSD
MAC (sandboxing) en Mac OS X.
3.1.- Historia
Gene Spafford de la Universidad de Purdue, Bill Cheswick en los laboratorios de AT & T, y Marcus
Ranum describen un servidor de seguridad de tercera generación conocido como un firewall de
nivel de aplicación. El trabajo de Marcus Ranum en la tecnología impulsó la creación del primer
producto comercial. El producto fue lanzado por DEC que lo nombró el producto DEC SEAL. La
primera venta importante de DEC fue el 13 de junio 1991 a una empresa química con sede en la
Costa Este de los EE.UU.
En 1993 Marcus Ranum, Xu Wei, y Peter Churchyard desarrollaron el Firewall Toolkit (FWTK).
Los propósitos para poner FWTK a libre disposición y no para uso comercial fueron: demostrar a
través del software , la documentación y los métodos utilizados, cómo una empresa con 11 años de
experiencia en métodos de seguridad formales y personas con experiencia en firewall, desarrollan
un software de servidor de seguridad para crear una base común de software de firewall para que
otros puedan construir sobre ella, y para "elevar el listón" de software de firewall que se utiliza. Sin
embargo, FWTK era un proxy de aplicación básica que requiere la interacción del usuario.
En 1994 , Xu Wei extendió el FWTK con la mejora de núcleo del filtro IP y el socket transparente.
Este fue el primer cortafuegos transparente más allá de un proxy de aplicación tradicional, lanzado
como Gauntlet Firewall. Gauntlet Firewall fue calificado como uno de los número 1 en firewalls
desde 1995 hasta que fue adquirida por Network Associates Inc, (NAI ) en 1998.
El mayor beneficio del filtrado de aplicaciones es que se puede "entender" ciertas aplicaciones y
protocolos (como el protocolo de transferencia de archivos , DNS o la navegación web), y es capaz
de detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está
abusando de alguna manera perjudicial de un protocolo.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
8. 3.2.- Cortafuegos de aplicación hardware
Barracuda Web Application Firewal 360
- Entre 1 y 5 Servidores
- Rendimiento: 25 Mbps
- 3000 Transacciones HTTP por segundo.
- 2000 Transacciones SSL por segundo.
Características:
• Validación de los protocolos HTTP/S, FTP
• Validación de metadatos de campos de formulario
• Encubrimiento de sitio web
• Control de respuesta
• Protección contra robo de datos.
• Control de subida de archivos.
• Registro, supervisión y presentación de informes
• Descarga SSL
• Autenticación y autorización
• Integración de scanner de vulnerabilidad
• Gestión centralizada
• Reputación de cliente por IP
• Cortafuegos de red
• Alta disponibilidad : Activo / Pasivo
Cisco ACE Web Application Firewall
Características:
• Proxy inverso
• Modo monitor
• Desbordamiento del búfer
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
9. • Bloqueo de byte nulo
• Normalización de codificación de entrada
• Acciones de cortafuegos flexibles.
• Manipulación de cookies y sesiones.
• Cross-site scripting (XSS)
• Inyección de comandos e inyección SQL.
• Modelos de seguridad positiva y negativa.
• Reglas y firmas personalizadas
• Algoritmos criptográficos
• Soporte completo para SSL v2/3 con conjuntos de cifrados configurables.
• Protección contra robo de datos.
• Encubrimiento de sitio web.
• SNMP
Citrix NetScaler Application Firewall
Características:
• Reescritura de comandos entre sitios.
• Falsificación de la solicitud entre sitios.
• Inyección de comandos e inyección SQL.
• Seguridad XML
• Desbordamiento del búfer
• Protección contra robo de datos
• Protección contra ataques conocidos y desconocidos adicionales
• Autenticación y autorización
• Cross-site scripting (XSS)
• Descarga SSL
• Manipulación de cookies y sesiones
• SNMP
• Algoritmos criptográficos
• Filtrado de contenidos.
• Validación de metadatos de campos de formulario
• Transformación de URL.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
10. 3.3.- Cortafuegos de aplicación software
3.3.1.- Mac OS X
Mac OS X, a partir de Leopard, incluye una implementación del framework TrustedBSD MAC, que
viene de FreeBSD. El framework TrustedBSD MAC se utiliza como sandbox para algunos
servicios, tales como mDNSResponder. El framework TrustedBSD MAC proporciona una capa por
defecto del cortafuegos dada la configuración predeterminada de los servicios para compartir en
Mac OS X Leopard y Snow Leopard.
El servidor de seguridad de aplicaciones ubicados en las preferencias de seguridad de Mac OS X
Leopard ofrece la funcionalidad de este tipo de cortafuegos de forma limitada a través de la
utilización de aplicaciones de firma de código agregado a la lista de firewall. Principalmente, este
servidor de seguridad de aplicaciones sólo gestiona las conexiones de red mediante una
comprobación para ver si las conexiones entrantes se dirigen hacia una aplicación en la lista del
firewall y se aplica la regla (block / allow) especificado para esas aplicaciones.
3.3.2.- Linux
Esta es una lista de paquetes de software de seguridad para Linux que permiten el filtrar la
comunicación entre la aplicación y el sistema operativo:
• AppArmor: es un programa de seguridad para Linux, lanzado bajo la licencia GPL.
Actualmente se encarga de mantenerlo la empresa Novell. AppArmor permite al
administrador del sistema asociar a cada programa un perfil de seguridad que restrinja las
capacidades de ese programa. Complementa el modelo tradicional de control de acceso
discrecional de Unix (DAC) proporcionando el control de acceso obligatorio (MAC).
Además de la especificación manual de perfiles, AppArmor incluye un modo de aprendizaje,
en el que las violaciones del perfil son registradas pero no prevenidas. Este registro puede
utilizarse para crear un perfil basado en el comportamiento típico del programa.
Está implementado utilizando la interfaz del núcleo "Linux Security Modules".
• ModSecurity: es un firewall de aplicaciones web embebible que ejecuta como módulo del
servidor web Apache, provee protección contra diversos ataques hacia aplicaciones web y
permite monitorizar tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de
hacer cambios a la infraestructura existente.
ModSecurity para Apache es un producto desarrollado por Breach Security. ModSecurity
está disponible como Software Libre bajo la licencia GNU General Public License, a su vez,
se encuentra disponible bajo diversas licencias comerciales.
• Systrace: es una utilidad de seguridad informática que limita el acceso de la aplicación al
sistema mediante la aplicación de políticas de acceso para llamadas al sistema. Esto puede
mitigar los efectos de los desbordamientos de búfer y otras vulnerabilidades de seguridad.
Fue desarrollado por Niels Provos y se ejecuta en varios sistemas operativos tipo Unix.
• Zorp es una suite proxy firewall desarrollada por BalaBit . Su núcleo permite al
administrador analizar completamente protocolos (como SSL con POP3 integrado o el
protocolo HTTP) . FTP, HTTP , FINGER , WHOIS , Telnet y SSL son totalmente
compatibles con una puerta de enlace de nivel de aplicación.
Zorp se libera en una versión bajo licencia GNU GPL y una versión comercial con algunas
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
11. características adicionales.
Admite los protocolos: Finger , FTP, HTTP , POP3, NNTP , IMAP4 , RDP , RPC , SIP ,
SSL , SSH , Telnet, Whois , LDAP , RADIUS , TFTP, SQLNet NET8 y Rsh.
3.3.3.- Windows
• WebKnight: es un firewall de aplicaciones para IIS y otros servidores web y se distribuye
bajo la Licencia Pública General GNU. Más concretamente, es un filtro ISAPI que asegura
su servidor web mediante el bloqueo de ciertas peticiones. Si se activa una alerta WebKnight
se hará cargo y proteger el servidor web. Lo hace mediante el escaneo de todas las
solicitudes de tratamiento y transformación en base a las reglas de filtrado, establecidas por
el administrador. Estas reglas no se basan en una base de datos de firmas de ataques que
requieren actualizaciones regulares. En lugar WebKnight utiliza filtros de seguridad como
de desbordamiento de búfer, inyección SQL, recorrido de directorio, codificación de
caracteres y otros ataques.WebKnight manera puede proteger el servidor contra todos los
ataques conocidos y desconocidos.
• WinGate: es un software de gestión de gateway integrado para Microsoft Windows, que
proporciona almacenamiento caché web y servicios de firewall y NAT, junto con una serie
de servidores proxy integrados y servicios de correo electrónico (servidores SMTP, POP3 e
IMAP).
WinGate está disponible en tres versiones, Standard, Professional y Enterprise. La edición
Enterprise también proporciona un sistema de red privada virtual de fácil configuración, que
también está disponible por separado como WinGate VPN. Las licencias se basan en el
número de usuarios conectados simultáneamente.
4.- Cortafuegos de aplicación especializados
4.1.- Historia
Ataques a gran escala de hackers sobre servidores web, como el xploit PHF CGI de 1996 , condujo
a la investigación sobre los modelos de seguridad para proteger las aplicaciones web. Este fue el
comienzo de lo que se conoce actualmente como el firewall de aplicaciones web (WAF). Los
primeros participantes en el mercado comenzaron a aparecer en 1999, como AppShield de Perfecto
Software, que más tarde cambió su nombre por el de Sanctum , y en 2004 fue adquirida por
Watchfire (adquirida por IBM en 2007) , que se centró principalmente en la mercado de comercio
electrónico y la protección contra entradas de caracteres página web ilegales. NetContinuum
(adquirida por Barracuda Networks en el 2007 ) se acercó al problema proporcionando pre-
configurados "servidores de seguridad".
En 2002, ModSecurity, proyecto de código abierto dirigido por Thinking Stone y posteriormente
adquirida por Breach Security en 2006 se formó con la misión de resolver estos obstáculos y hacer
que la tecnología WAF fuera accesible para todas las empresas. Con el lanzamiento del conjunto de
reglas principal, una única regla de código abierto establecido para la protección de aplicaciones
web , con base en (WAS TC) Trabajo vulnerabilidad del Comité Técnico de OASIS Web
Application Security , el mercado tenía un estable, bien documentado y estandarizado modelo a
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
12. seguir.
En 2003, el trabajo de WAS TC se amplió y estandarizado en toda la industria a través de la lista
Top 10 del Proyecto de Seguridad Abierta de Aplicaciones Web (OWASP) . Este ranking anual es
un esquema de clasificación para las vulnerabilidades de seguridad web , un modelo para
proporcionar orientación para la amenaza inicial , el impacto, y una manera de describir las
condiciones que pueden ser utilizados por las herramientas tanto de evaluación y de protección,
como un WAF . Esta lista se convertiría en el referente de la industria.
En 2004 , los grandes proveedores de gestión de tráfico y de seguridad , sobre todo en la capa de red
, entraron en el mercado de los WAF a través de un oleada de fusiones y adquisiciones. La que fue
clave fue la de mediados de año de F5 para adquirir Magnifire WebSystems , y la integración de la
solución de software TrafficShield de éste con el sistema de gestión del tráfico Big- IP de la
primera. Este mismo año, F5 adquirió AppShield y discontinuó la tecnología. Una mayor
consolidación se produjo en 2006 con la adquisición de Kavado por Protegrity , y la compra de
Teros Citrix Systems.
Hasta este punto , el mercado de los WAF fue dominado por los proveedores de nicho que se
centraron en la seguridad de capa de aplicación web. Ahora el mercado está firmemente dirigido a la
integración de productos WAF con las grandes tecnologías de red, de balanceo de carga , servidores
de aplicaciones , servidores de seguridad de red, etc., y comenzó una oleada de cambios de marca ,
cambios de nombre y el reposicionamiento de la WAF . Las opciones eran confusas , caras y todavía
casi no comprendidas por el mercado.
En 2006 , se formó el Web Application Security Consortium para ayudar a darle sentido al mercado
WAF ahora ampliamente divergentes. Apodado el proyecto de Criterios de Evaluación Firewall de
Aplicaciones Web (WAFEC), esta comunidad abierta de los usuarios, los proveedores, los círculos
académicos y los analistas e investigadores independientes crearon un criterio común de evaluación
para su aprobación WAF que aún se mantiene en la actualidad.
En el año 2010, el mercado de WAF se había convertido en un mercado de más de 200 millones de
dólares según Forrester.
4.2.- Cortafuegos de aplicación distribuidos
Los cortafuegos de aplicación distribuidos están completamente basados en software y su
arquitectura está diseñada para separar componentes de forma que estén separados dentro de una
red.
Este avance en la arquitectura permite que el consumo de recursos se propaguen a través de una red,
en lugar de depender de un solo dispositivo, al tiempo que permite total libertad para escalar a
medida que sea necesario. En particular, permite la adición - sustracción de cualquier número de
componentes de forma independiente el uno del otro para una mejor gestión de los recursos. Este
método es ideal para grandes y distribuidas infraestructuras virtualizadas, como los modelos de
nubes privadas, públicas o híbridas.
En el siguiente esquema vemos como sería el funcionamiento de un cortafuegos de aplicación
distribuido:
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
13. Como puede verse el WAF tiene sus módulos distribuidos. Lo más habitual es encontrar los WAF
distribuidos en la nube.
4.3.- Cortafuegos de aplicación basados en la nube
Los cortafuegos de aplicación basados en la nube tienen la particularidad de que son independientes
de la plataforma que se esté utilizando y no requiere hacer cambios hardware o software en el host.
Sólo se requiere un cambio en el DNS para que todo el tráfico se enrute al WAF y así pueda
inspeccionarse para detectar posibles ataques.
Los cortafuegos de aplicación basados en la nube son normalmente servicios centralizados, esto
quiere decir que la información acerca de los intentos de ataque se comparte entre todos los usuarios
del WAF. Esta colaboración permite mejorar las tasas de detección y así encontrar menos cantidad
de falsos positivos.
Al igual que otras soluciones basadas en la nube, esta tecnología es elástica, escalable y se ofrece
normalmente como un “pay-as-you grow service”, que significa que pagas más cuanto más
necesites. Este método es ideal para las aplicaciones web basadas en la nube y los sitios web de
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org
14. pequeñas y medianas empresas que requieren seguridad de las aplicaciones web, pero no están
dispuestos o son capaces de hacer cambios software o hardware en sus sistemas.
Aquí podemos ver como funcionaría un cortafuegos de aplicación basado en la nube.
Algunos ejemplos:
• XyberShield es el único WAF basado en la nube que no requiere un cambio de DNS.
• En 2010 Imperva sacó Incapsula para proveer a las pequeñas y medianas empresas de un
WAF basado en la nube.
• Akamai Technologies ofrece una WAF basado en la nube que incorpora características
avanzadas tales como control de la frecuencia y reglas personalizadas que permitan abordar
tanto la capa 7 como los ataques DDoS .
• Desde 2012, Penta Security Systems, Inc. ofrece un WAF basado en la nube , llamada
WAPPLES V-Series al público con la asociación estratégica con ISPs.
• Cloudflare
• Shaka Technologies ofrece Ishlangu Load Balancer ADC como WAF basado en la nube.
• Armorlogic Profense Web Application Firewall
• EasyWAF ofrecido por BinarySEC
• ClearWeb propuesto por Nexusguard
• En 2013, dos estudiantes desarrollaron un CWAF de código abierto llamado Ghaim, basado
en ModSecurity y Nginx.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710
http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org