¿Qué es un cortafuegos de aplicaciones web (WAF)?

Un cortafuegos de aplicaciones web (WAF) protege a las aplicaciones web de diversos ataques a la capa de aplicación, como el cross-site scripting (XSS), la inyección de SQL y el poisoning de cookies, entre otros. Los ataques a las aplicaciones son la principal causa de infracción (son la puerta de acceso a sus datos importantes). Colocando un WAF adecuado, se pueden bloquear los distintos ataques cuyo objetivo es poner en peligro los sistemas accediendo a esos datos.

El WAF protege sus aplicaciones web filtrando, vigilando y bloqueando todo el tráfico HTTP/S malicioso que se dirija hacia ellas e impide que salga de ellas cualquier dato no autorizado. Lo hace adhiriéndose a un conjunto de políticas que distinguen entre tráfico malicioso y seguro. Al igual que un servidor proxy actúa como intermediario para proteger la identidad de un cliente, un WAF funciona de manera similar pero a la inversa (se llama proxy inverso), actuando como un intermediario que protege el servidor de aplicaciones web de un cliente potencialmente malicioso.

Un WAF puede ser un software, un dispositivo o un servicio prestado. Las políticas se pueden personalizar para satisfacer las necesidades exclusivas de su aplicación o conjunto de aplicaciones web. Aunque muchos WAF requieren actualizar las políticas regularmente para abordar nuevas vulnerabilidades, los avances en el aprendizaje automático permiten a algunos WAF actualizarse automáticamente. Esta automatización es cada vez importante, dado que el panorama de amenazas sigue creciendo en complejidad y ambigüedad.

Un IPS es un sistema de prevención de intrusiones, un WAF es un cortafuegos de aplicaciones web y un NGFW es un cortafuegos de última generación. ¿Cuál es la diferencia entre ellos?

Un IPS es un producto de seguridad con un enfoque más amplio. Normalmente se basa en firmas y políticas, lo que significa que puede comprobar vulnerabilidades y vectores de ataque conocidos en función de una base de datos de firmas y en las políticas establecidas. El IPS establece una norma basada en esta base de datos y estas políticas y luego envía alertas si el tráfico se desvía de la norma. Las firmas y las políticas van creciendo a medida que se conocen nuevas vulnerabilidades. En general, el IPS protege el tráfico a través de una gama de protocolos como DNS, SMTP, TELNET, RDP, SSH y FTP. El IPS normalmente opera y protege las capas 3 y 4. Las capas de red y de sesión, aunque algunos pueden ofrecer una protección limitada en la capa de aplicación (capa 7).

Un cortafuegos de aplicación web (WAF) protege la capa de aplicación y está diseñado específicamente para analizar cada petición HTTP/S en dicha capa. Por lo general es consciente del usuario, la sesión y la aplicación y conoce las aplicaciones web que hay detrás y los servicios que ofrecen. Por ello se puede considerar al WAF como un intermediario entre el usuario y la propia aplicación, que analiza todas las comunicaciones antes de que lleguen a la aplicación o al usuario. Los WAF tradicionales garantizan que solo se puedan realizar las acciones permitidas (en función de la política de seguridad). Para muchas organizaciones, las WAF son una primera línea de defensa fiable para las aplicaciones, especialmente para protegerse contra el OWASP Top 10 (la lista de las 10 vulnerabilidades en las aplicaciones más comunes). Entre ellas, están las siguientes:

• Ataques de inyección
• Pérdida de autentificación
• Exposición de datos sensibles
• Entidades externas XML (XXE)
• Interrupción del control de acceso
• Configuración de seguridad defectuosa
• XSS (cross-site scripting)
• Deserialización desprotegida

Obtener el libro electrónico sobre cómo prepararse para el OWASP Top 10

Vea este vídeo corto sobre IPS frente a WAF

Un cortafuegos de última generación (NGFW) vigila el tráfico que sale a Internet (a través de sitios web, cuentas de correo electrónico y SaaS). En pocas palabras, protege al usuario (frente a la aplicación web). El NGFW obliga a cumplir las políticas basadas en el usuario y agrega contexto a las políticas de seguridad, aparte de otras funciones como el filtrado de URL, antivirus/anti-malware, y potencialmente, sus propios sistemas de prevención de intrusos (IPS). Mientras que el WAF suele ser un proxy inverso (utilizado por los servidores), el NGFW suele ser un proxy de avance (utilizado por clientes como navegador).

Un WAF puede implementarse de varias formas; todo depende de dónde ubique las aplicaciones, de los servicios necesarios, de cómo quiera gestionar y del nivel de flexibilidad y rendimiento de la arquitectura que necesite. ¿Quiere gestionarlo usted mismo o quiere subcontratar esa gestión? ¿Prefiere un WAF en la nube o en sus instalaciones? Podrá decidir cómo implementar el WAF en función de todo esto. A continuación se enumeran las distintas opciones.

• Instalado en la nube + administrado completamente como un servicio. Es una fantástica opción si lo que busca es colocar un WAF delante de sus aplicaciones con rapidez y sin complicarse (sobre todo si su seguridad interna y recursos informáticos son limitados)
• Instalado en la nube + autogestionado. Obtiene toda la flexibilidad y portabilidad de las políticas de seguridad de la nube y mantiene la gestión del control de tráfico y de las políticas de seguridad
• Instalado en la nube + autoprovisto. Es la manera más fácil de empezar con un WAF en la nube, se implementa la política de seguridad de forma sencilla y rentable
• WAF avanzado en las instalaciones (dispositivo virtual o de hardware). Esto satisface los requisitos más exigentes de implementación, en los que la flexibilidad, el rendimiento y la seguridad más avanzada son fundamentales

Aquí tiene una guía para ayudarle a elegir el WAF más adecuado para usted y su forma de implementarlo.

Más información sobre el WAF y sobre cómo proteger sus aplicaciones con la tecnología Advanced WAF de F5