Es probable que tu página web o aplicación web no será atacada. Todavía.

Pero hay un dato importante aquí: se llevan a cabo más de 35,000 ataques a sitios web diariamente. Todos somos un objetivo potencial simplemente porque publicamos una página o aplicación, y tener contraseñas seguras y un certificado SSL no es suficiente para mantenernos a salvo.

Si preguntas a cualquier consultor de ciberseguridad sobre la necesidad de implantar un Firewall o un Web Application Firewall (WAF), la respuesta sería: Bueno, depende, o sí, pero…

Vemos a ver primero las diferencias entre uno y otro para saber qué es lo que realmente estamos protegiendo.

Un Firewall protege una red, pero si estás alojando aplicaciones web, definitivamente deberías considerar un WAF. Es importante señalar que un WAF no sustituye a un Firewall; son dispositivos o funciones independientes que se complementan entre sí.

El Firewall, en su nivel más básico, contiene una colección de reglas que creas y que dictan quién puede hablar con quién. Por ejemplo, puedes crear una regla que define que algunos equipos externos pueden comunicarse con el puerto 21 de tu servidor FTP interno, o que los puertos 8081 y 8082 habilitados para las cámaras de seguridad que están alojados detrás de tu cortafuegos. Tambien, puedes abrir el puerto 80 o 443 para que puedan llegar a tu página web corporativa desde Internet, o a la applicacion del portal de tus empleados. Puedes registrar el tráfico y utilizarlo más tarde para fines de auditoría o de presentación de informes.

En el caso de los UTM o dispositivos de gestión unificada de amenazas, estos nos llevan un paso un paso más allá y es donde empezamos a confundirnos entre los dos. Los firewalls más modernos o de próxima generación pueden entender las aplicaciones y ser capaces de rastrear o vigilar dinámicamente el tráfico basado en el tipo de aplicación, en lugar de una sola IP y puerto. Pueden identificar a los usuarios de un servicio de directorio (AD o RADIUS, por ejemplo) y utilizarlo para la elaboración de informes más útiles y la creación de políticas dinámicas. Estos cortafuegos pueden incluso bloquear software malicioso o vigilar los patrones de datos que se desean supervisar como, por ejemplo, números de cuentas bancarias o CIF para proteger las aplicaciones web o el contenido de los usuarios, algo que tradicionalmente sólo se asociaba con los WAF.

Un WAF puro y duro hace cosas que no hace un firewall. Se centra en las aplicaciones en sí mismas para facilitar una lógica granular y personalizable para proteger un sitio web o aplicación web y los datos dentro de este sitio. Por un lado, protege contra vulnerabilidades conocidas de los sistemas y programaciones o desarrollos y por el otro mitiga ataques contra vulnerabilidades que son estándar de las propias aplicaciones web y en las listas del Proyecto de Seguridad de Aplicaciones Web Abiertas (PSAWA) como, por ejemplo:

  • Inyección SQL
  • Cross Site-Scripting
  • Validación de campos/cookies
  • Clientes remotos con mala reputación
  • Cumplimientos de protocolos
  • HTTP/S lento o Slowloris (denegacion de servicio)
  • Otras amenazas comunes conocidas

Los WAF son conscientes de estos tipos de ataques, tienen la capacidad de monitorizar y aprender acerca de qué vulnerabilidades específicas pueden estar en uso contra tu aplicación y luego generar reglas para bloquear esas vulnerabilidades y mitigar estos ataques. Incluso si una aplicación no tiene vulnerabilidades conocidas, un WAF supervisa los posibles ataques y bloquea o logea los mismos en función de las preferencias de los administradores. Como estos ataques cambian con el tiempo, las reglas WAF pueden adaptarse.

En definitiva, los cortafuegos de aplicaciones web (WAF) son una forma eficaz de proteger tu negocio de los programas maliciosos dañinos y las aplicaciones web críticas para el negocio. Históricamente, los WAF se desplegaban como una solución basada en un dispositivo o appliance en local, pero hoy en día, con la transformación digital y las extensas nubes, cada vez vemos más soluciones adaptadas a este entorno y a entornos híbridos y/o multi-nubes.

Para la próxima entrega, seguiremos comentando el tema de los WAF y su evolución hacia los WAAP (Web Application and API Protection) que será el siguiente paso ya que hace énfasis en la protección de aplicaciones web y APIs, y no a los servidores.

 

Para manteneros al día sobre asuntos de ciberseguridad, noticias relacionadas y otras cosas, me podéis seguir en: