anexo web application firewall

IES Gran CapitánDepartamento de Informática

Ciclo Formativo de Grado Superior deAdministración de Sistemas Informáticos

Módulo de Proyecto Integrado

Miguel Ángel López Moyano – 2013/2014

Anexo: Web Application Firewall

Curso 2013/2014

Índice de contenido

1.- Introducción.....................................................................................................................................22.- Cortafuegos de aplicación en la actualidad.....................................................................................2

2.1.- Modelos de seguridad..............................................................................................................22.2.- ¿Que ataques bloquea?.............................................................................................................32.3.- ¿Cómo funciona?.....................................................................................................................42.4.- Desventajas..............................................................................................................................52.5.-Algunos productos....................................................................................................................52.6.- Diferencias entre IPS y WAF...................................................................................................6

3.- Cortafuegos de aplicación basados en host.....................................................................................63.1.- Historia.....................................................................................................................................73.2.- Cortafuegos de aplicación Hardware.......................................................................................83.3.- Cortafuegos de aplicación Software......................................................................................10

3.3.1.- Mac OS X...................................................................................................................103.3.2.- Linux...........................................................................................................................103.3.3.- Windows.....................................................................................................................11

4.- Cortafuegos de aplicación especializados.....................................................................................114.1.- Historia..................................................................................................................................114.2.- Cortafuegos de aplicación distribuidos..................................................................................124.3.- Cortafuegos de aplicación basados en la nube .....................................................................13

IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]

1.- Introducción

Un cortafuegos de aplicación basado en la red es un servidor de seguridad de redes de ordenadorque opera en la capa de aplicación de una pila de protocolos, y también se le conoce como unservidor de seguridad de proxy o basado en proxy inverso.

Los cortafuegos de aplicación específicos para un determinado tipo de tráfico de red pueden serllamadas con el nombre del servicio, como por ejemplo un servidor de seguridad de aplicacionesweb. Estos pueden ser implementados a través de software que se ejecuta en un host o un hardwareindependiente de red. A menudo, se trata de un host mediante diversas formas de servidores proxypara el tráfico antes de pasarlo al cliente o servidor. Debido a que actúa sobre la capa de aplicación,puede inspeccionar el contenido de tráfico, bloqueo de contenido especificado , como ciertos sitiosweb, virus o los intentos de aprovechar los fallos lógicos conocidas de software de cliente.

Los cortafuegos de aplicación modernos también pueden descargar el cifrado de los servidores, laaplicación de bloques de entrada / salida de las intrusiones detectadas o de comunicación conformato incorrecto, gestionar o consolidar la autenticación, o el contenido del bloque que violen laspolíticas.

2.- Cortafuegos de aplicación en la actualidad

Los Firewalls tradicionales trabajan en la capa de red pero no ofrecen ninguna clase de proteccióncontra los ataques especializados en explotar vulnerabilidades web. Por eso, hablamos de los WebApplication Firewall o WAF.

Para empezar tenemos que decir que esta herramienta no es un sustitutivo de otras medidas deprotección que debe llevar a cabo el desarrollador de la aplicación.

El WAF es un dispositivo que puede ser hardware o software que analiza el tráfico web (entre elservidor web y la WAN) y protege de diversos ataques como SQL Injection, Cross Site Scripting,etc. Protege ataques dirigidos al servidor web que los IDS/IPS no pueden. No enruta el tráfico ni loNATea, sino que se hacen 2 peticiones diferentes, una desde el cliente hasta el WAF y otra desde elWAF hasta el servidor web final.

Pueden funcionar como bridge, router, proxy o plugin.

Un ejemplo de WAF a nivel software es el mod_security (plugin de Apache).

2.1.- Modelos de Seguridad


• Positiva

El WAF deniega por defecto todas las transacciones y solo acepta las que considera seguras. La definición de seguridad la recoge de una serie de reglas preestablecidas que se definen bien por auto-aprendizaje o bien por configuración manual.

Es recomendable para aplicaciones que no están sujetas a modificaciones de diseño o funcionamiento con mucha regularidad ya que el mantenimiento de este modelo puede ser bastante complicado.

Este modelo no depende de ningún tipo de actualización y puede proteger de ataques desconocidos, sin embargo puede detectar falsos positivos y necesitan un proceso de aprendizaje de funcionamiento de la aplicación.

• Negativa

El WAF acepta todas las transacciones y solo deniega las que considera como un ataque.

Este modelo depende de actualizaciones de las posibles amenazas. Sin embargo son más fáciles de administrar que los anteriores ya que requieren de menos ajustes.

2.2.- ¿Qué ataques bloquea?

Depende del fabricante del equipo pero la mayoría detectan los ataques más comunes.

Puede analizar las variables que llegan por GET o POST, detectando así un buffer overflow.

Puede analizar que los valores pasados por GET o POST no contengan valores usados por CrossSite Scripting o SQL Injection como “select from”, “unión”, “concat”, etc.

Es muy importante tener en cuenta que si nuestra aplicación utiliza caracteres “extraños”, tendremosque configurar el WAF para que no estén incluidos en su “lista negra” o bien rediseñar la aplicaciónweb para evitar estos caracteres.

Algunos WAF también monitorizan las respuestas del servidor web. Si por ejemplo detecta cadenas


que identifica como cuentas bancarias puede denegar la respuesta al considerar que se trata de unataque.

Ejemplo del proceso de aprendizaje:

Si nuestra página tiene una estructura así: GET http://miweb.com/producto.php?id=10, se crearáautomáticamente una regla que especifique esta estructura de tal manera que si se recibe la siguientepetición: GET http://miweb.com/producto.php?id=10‘ or 1=1 — el WAF denegará la petición porconsiderarla como un ataque o redirigirá a una página configurada de error.

2.3.- ¿Cómo funciona?

El WAF puede funcionar de varias formas. Cada organización deberá elegir la que más se ajusta asus necesidades.

• Reverse Proxy: su funcionamiento se basa en un proxy inverso. Esto nos obliga a hacercambios en las tablas de DNS o NAT de los firewalls, de manera que el tráfico que antes ibaa las granjas de los servidores web directamente, ahora se direccionará a nuestro nuevodispositivo.

En la configuración del WAF tendremos que indicar el servidor/granja de servidorescorrespondiente al que enviar el tráfico. Se puede virtualizar, de manera que se puedananalizar varios dominios o aplicaciones con un solo dispositivo, de forma que según eldominio donde vaya se reenvie a un servidor/granja o a otro.

Soportan las siguientes características: caching, compresión, aceleración SSL, balanceo decarga y pooling de conexiones.

• Transparent Proxy: su funcionamiento es similar al anterior pero en este caso no tiene unadirección IP. Permiten interactuar en modo transparente. De esta forma no es necesariorealizar cambios en la topología de red ni en el flujo del tráfico. Su desventaja respecto a losbasados en proxy inverso es que requieren una parada de servicio mucho mayor en losdespliegues.

• Layer 2 Bridge: el WAF funciona como un switch de capa 2. Proporciona alto rendimiento yno implica cambios en la red, sin embargo no aporta servicios avanzados como otros modoslo hacen.


• Network Monitor / Out of Band: El WAF inspecciona el tráfico de red a través de un sniffermonitorizando un puerto. Se puede configurar para que además bloquee cierto tráficoenviando reinicios TCP para interrumpir el mismo.

• Host/Server Based: es software que se instala en los propios servidores web. En este caso seelimina cualquier problema de red adicional que pueda existir, pero hay que tener cuidadocon su instalación en servidores web que tengan mucha carga ya de por sí.

2.4.- Desventajas

Como hemos comentado anteriormente, debemos configurar el WAF correctamente ya que en otrocaso pueden detectar continuos falsos positivos y denegar transacciones y en consecuencia pérdidade clientes o mala imagen de la aplicación.

Por otra parte, pueden introducir algún retardo en el tiempo de respuesta de la aplicación. Parapoder minimizar este inconveniente se pueden emplear aceleradores SSL (dispositivo hardware quese encarga de la capa de protección SSL y así libera de esta función a servidor web), usar webcache,comprimir datos, etc.

2.5.- Algunos productos

• No comerciales:

- ModSecurity-www.modsecurity.org.

El WAF más utilizado es el proyecto de código abierto ModSecurity. Su empresa es Breach Security.

ModSecurity normalmente utiliza un modelo de seguridad negativo. Ya hay desarrollos basados en este tipo de WAF como el que utiliza Apache añadiendo un módulo que contieneModSecurity.

Contiene un grupo de reglas que detectan los ataques web más comunes.

Su consola centralizada permite recolectar logs y alertas, analizando el tráfico web y creandoperfiles que pueden ser utilizados para implementar un modelo de seguridad positivo.


- Microsoft URLScan

Se trata de un filtro ISAPI que lee la configuración de un archivo .ini en el que se definen lasrestricciones. Corre en el propio servidor web.

• Comerciales:

Como herramientas comerciales, podemos mencionar a F5 (su módulo ASM para plataformas BIG-IP), rWeb o sProxy deDenyAll, Imperva, IBM DataPower (exclusivamente para servicios Web), Barracuda (que absorbió a NetContinuum), Citrix (después de comprar Teros), Breach Security.

2.6.- Diferencias entre IPS y WAF

IPS (Intrusion Prevention System) escanea los paquetes que viajan por la red. Actúa de formasimilar al IDS (Intrusion Detection System), comparando los datos de los paquetes de la red con unaBBDD de firmas o detectando anomalías en lo que se le ha definido como “trafico normal”. Sediferencia del IDS en que el IPS además de recoger logs y alertas, se puede programar parareaccionar ante lo que detecte. Por este motivo es más completo que el IDS.

IPS no tiene la capacidad de entender la lógica del funcionamiento de una aplicación web, por loque no puede distinguir si una petición es normal o no y puede provocar falsos positivos.

Básicamente la diferencia entre IPS y WAF está en que WAF tiene capacidad para analizar la capa 7de red.

Mientras que IPS compara el tráfico con patrones y anomalías, WAF examina el comportamiento yla lógica que se está enviando y devolviendo.

3.- Cortafuegos de aplicación basados en host

Un firewall de aplicaciones basado en host puede monitorear las solicitudes de entrada, de salida,y/o de servicio del sistema realizadas desde, hacia, o por una aplicación. Esto se hace mediante elexamen de la información que pasa a través de llamadas al sistema en lugar de o en adición a unapila de red. Un firewall de aplicaciones basadas en host sólo puede proporcionar protección a lasaplicaciones que se ejecutan en el mismo host.

Los cortafuegos de aplicación tienen la función de determinar si un proceso debe aceptar una


conexión determinada. Los cortafuegos de aplicación cumplen su función enganchando en llamadasde socket para filtrar las conexiones entre la capa de aplicación y las capas inferiores del modeloOSI. Los cortafuegos de aplicación que se enganchan en llamadas de socket también se les conocecomo filtros de socket. Los cortafuegos de aplicación funcionan como un filtro de paquetes , perolos filtros de aplicación se aplican las reglas de filtrado (permitir / bloquear) en función de cadaproceso en lugar de conexiones de filtrado en cada puerto . En general, los mensajes se utilizan paradefinir reglas para procesos que aún no han recibido una conexión. Es raro encontrar a loscortafuegos de aplicación sin combinarse o usarse en conjunción con un filtro de paquetes.

Además, los cortafuegos de aplicación filtran aún más conexiones examinando el ID de proceso depaquetes de datos en contra de un conjunto de reglas para el proceso local que participan en latransmisión de datos. El alcance de la filtración que se produce se define por el conjunto de reglasproporcionado. Dada la gran variedad de software que existe, los cortafuegos de aplicación sólotienen conjuntos de reglas más complejas para los servicios estándar, tales como los servicioscompartidos. Estos conjuntos de reglas por procesos tienen una eficacia limitada en el filtrado detodas las asociaciones posibles que pueden ocurrir con otros procesos. Además, estos conjuntos dereglas para cada proceso no puede defenderse contra la modificación del proceso a través de laexplotación. Debido a estas limitaciones, los firewalls de aplicaciones están comenzando a sersuplantado por una nueva generación de cortafuegos de aplicación que se basan en el control deacceso obligatorio (MAC), también conocida como sandboxing, para proteger los serviciosvulnerables. Ejemplos de generación de cortafuegos de aplicación próximos basado en host quecontrolan las llamadas de servicio del sistema de una aplicación son AppArmor y TrustedBSDMAC (sandboxing) en Mac OS X.

3.1.- HistoriaGene Spafford de la Universidad de Purdue, Bill Cheswick en los laboratorios de AT & T, y MarcusRanum describen un servidor de seguridad de tercera generación conocido como un firewall denivel de aplicación. El trabajo de Marcus Ranum en la tecnología impulsó la creación del primerproducto comercial. El producto fue lanzado por DEC que lo nombró el producto DEC SEAL. Laprimera venta importante de DEC fue el 13 de junio 1991 a una empresa química con sede en laCosta Este de los EE.UU.

En 1993 Marcus Ranum, Xu Wei, y Peter Churchyard desarrollaron el Firewall Toolkit (FWTK).Los propósitos para poner FWTK a libre disposición y no para uso comercial fueron: demostrar através del software , la documentación y los métodos utilizados, cómo una empresa con 11 años deexperiencia en métodos de seguridad formales y personas con experiencia en firewall, desarrollanun software de servidor de seguridad para crear una base común de software de firewall para queotros puedan construir sobre ella, y para "elevar el listón" de software de firewall que se utiliza. Sinembargo, FWTK era un proxy de aplicación básica que requiere la interacción del usuario.

En 1994 , Xu Wei extendió el FWTK con la mejora de núcleo del filtro IP y el socket transparente.Este fue el primer cortafuegos transparente más allá de un proxy de aplicación tradicional, lanzadocomo Gauntlet Firewall. Gauntlet Firewall fue calificado como uno de los número 1 en firewallsdesde 1995 hasta que fue adquirida por Network Associates Inc, (NAI ) en 1998.

El mayor beneficio del filtrado de aplicaciones es que se puede "entender" ciertas aplicaciones yprotocolos (como el protocolo de transferencia de archivos , DNS o la navegación web), y es capazde detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se estáabusando de alguna manera perjudicial de un protocolo.


3.2.- Cortafuegos de aplicación hardware

Barracuda Web Application Firewal 360

- Entre 1 y 5 Servidores

- Rendimiento: 25 Mbps

- 3000 Transacciones HTTP por segundo.

- 2000 Transacciones SSL por segundo.

Características:

• Validación de los protocolos HTTP/S, FTP• Validación de metadatos de campos de formulario• Encubrimiento de sitio web• Control de respuesta• Protección contra robo de datos.• Control de subida de archivos.• Registro, supervisión y presentación de informes• Descarga SSL• Autenticación y autorización• Integración de scanner de vulnerabilidad• Gestión centralizada• Reputación de cliente por IP• Cortafuegos de red• Alta disponibilidad : Activo / Pasivo

Cisco ACE Web Application Firewall

Características:

• Proxy inverso

• Modo monitor

• Desbordamiento del búfer


• Bloqueo de byte nulo

• Normalización de codificación de entrada

• Acciones de cortafuegos flexibles.

• Manipulación de cookies y sesiones.

• Cross-site scripting (XSS)

• Inyección de comandos e inyección SQL.

• Modelos de seguridad positiva y negativa.

• Reglas y firmas personalizadas

• Algoritmos criptográficos

• Soporte completo para SSL v2/3 con conjuntos de cifrados configurables.

• Protección contra robo de datos.

• Encubrimiento de sitio web.

• SNMP

Citrix NetScaler Application Firewall

Características:

• Reescritura de comandos entre sitios.

• Falsificación de la solicitud entre sitios.

• Inyección de comandos e inyección SQL.

• Seguridad XML

• Desbordamiento del búfer

• Protección contra robo de datos

• Protección contra ataques conocidos y desconocidos adicionales

• Autenticación y autorización

• Cross-site scripting (XSS)

• Descarga SSL

• Manipulación de cookies y sesiones

• SNMP

• Algoritmos criptográficos

• Filtrado de contenidos.

• Validación de metadatos de campos de formulario

• Transformación de URL.


3.3.- Cortafuegos de aplicación software

3.3.1.- Mac OS X

Mac OS X, a partir de Leopard, incluye una implementación del framework TrustedBSD MAC, queviene de FreeBSD. El framework TrustedBSD MAC se utiliza como sandbox para algunosservicios, tales como mDNSResponder. El framework TrustedBSD MAC proporciona una capa pordefecto del cortafuegos dada la configuración predeterminada de los servicios para compartir enMac OS X Leopard y Snow Leopard.

El servidor de seguridad de aplicaciones ubicados en las preferencias de seguridad de Mac OS XLeopard ofrece la funcionalidad de este tipo de cortafuegos de forma limitada a través de lautilización de aplicaciones de firma de código agregado a la lista de firewall. Principalmente, esteservidor de seguridad de aplicaciones sólo gestiona las conexiones de red mediante unacomprobación para ver si las conexiones entrantes se dirigen hacia una aplicación en la lista delfirewall y se aplica la regla (block / allow) especificado para esas aplicaciones.

3.3.2.- Linux

Esta es una lista de paquetes de software de seguridad para Linux que permiten el filtrar lacomunicación entre la aplicación y el sistema operativo:

• AppArmor: es un programa de seguridad para Linux, lanzado bajo la licencia GPL.Actualmente se encarga de mantenerlo la empresa Novell. AppArmor permite aladministrador del sistema asociar a cada programa un perfil de seguridad que restrinja lascapacidades de ese programa. Complementa el modelo tradicional de control de accesodiscrecional de Unix (DAC) proporcionando el control de acceso obligatorio (MAC).

Además de la especificación manual de perfiles, AppArmor incluye un modo de aprendizaje,en el que las violaciones del perfil son registradas pero no prevenidas. Este registro puede utilizarse para crear un perfil basado en el comportamiento típico del programa.

Está implementado utilizando la interfaz del núcleo "Linux Security Modules".

• ModSecurity: es un firewall de aplicaciones web embebible que ejecuta como módulo delservidor web Apache, provee protección contra diversos ataques hacia aplicaciones web ypermite monitorizar tráfico HTTP, así como realizar análisis en tiempo real sin necesidad dehacer cambios a la infraestructura existente.

ModSecurity para Apache es un producto desarrollado por Breach Security. ModSecurity está disponible como Software Libre bajo la licencia GNU General Public License, a su vez, se encuentra disponible bajo diversas licencias comerciales.

• Systrace: es una utilidad de seguridad informática que limita el acceso de la aplicación alsistema mediante la aplicación de políticas de acceso para llamadas al sistema. Esto puedemitigar los efectos de los desbordamientos de búfer y otras vulnerabilidades de seguridad.Fue desarrollado por Niels Provos y se ejecuta en varios sistemas operativos tipo Unix.

• Zorp es una suite proxy firewall desarrollada por BalaBit . Su núcleo permite aladministrador analizar completamente protocolos (como SSL con POP3 integrado o elprotocolo HTTP) . FTP, HTTP , FINGER , WHOIS , Telnet y SSL son totalmentecompatibles con una puerta de enlace de nivel de aplicación.

Zorp se libera en una versión bajo licencia GNU GPL y una versión comercial con algunas


características adicionales.

Admite los protocolos: Finger , FTP, HTTP , POP3, NNTP , IMAP4 , RDP , RPC , SIP ,SSL , SSH , Telnet, Whois , LDAP , RADIUS , TFTP, SQLNet NET8 y Rsh.

3.3.3.- Windows

• WebKnight: es un firewall de aplicaciones para IIS y otros servidores web y se distribuyebajo la Licencia Pública General GNU. Más concretamente, es un filtro ISAPI que asegurasu servidor web mediante el bloqueo de ciertas peticiones. Si se activa una alerta WebKnightse hará cargo y proteger el servidor web. Lo hace mediante el escaneo de todas lassolicitudes de tratamiento y transformación en base a las reglas de filtrado, establecidas porel administrador. Estas reglas no se basan en una base de datos de firmas de ataques querequieren actualizaciones regulares. En lugar WebKnight utiliza filtros de seguridad comode desbordamiento de búfer, inyección SQL, recorrido de directorio, codificación decaracteres y otros ataques.WebKnight manera puede proteger el servidor contra todos losataques conocidos y desconocidos.

• WinGate: es un software de gestión de gateway integrado para Microsoft Windows, queproporciona almacenamiento caché web y servicios de firewall y NAT, junto con una seriede servidores proxy integrados y servicios de correo electrónico (servidores SMTP, POP3 eIMAP).

WinGate está disponible en tres versiones, Standard, Professional y Enterprise. La ediciónEnterprise también proporciona un sistema de red privada virtual de fácil configuración, quetambién está disponible por separado como WinGate VPN. Las licencias se basan en elnúmero de usuarios conectados simultáneamente.

4.- Cortafuegos de aplicación especializados

4.1.- HistoriaAtaques a gran escala de hackers sobre servidores web, como el xploit PHF CGI de 1996 , condujoa la investigación sobre los modelos de seguridad para proteger las aplicaciones web. Este fue elcomienzo de lo que se conoce actualmente como el firewall de aplicaciones web (WAF). Losprimeros participantes en el mercado comenzaron a aparecer en 1999, como AppShield de PerfectoSoftware, que más tarde cambió su nombre por el de Sanctum , y en 2004 fue adquirida porWatchfire (adquirida por IBM en 2007) , que se centró principalmente en la mercado de comercioelectrónico y la protección contra entradas de caracteres página web ilegales. NetContinuum(adquirida por Barracuda Networks en el 2007 ) se acercó al problema proporcionando pre-configurados "servidores de seguridad".

En 2002, ModSecurity, proyecto de código abierto dirigido por Thinking Stone y posteriormenteadquirida por Breach Security en 2006 se formó con la misión de resolver estos obstáculos y hacerque la tecnología WAF fuera accesible para todas las empresas. Con el lanzamiento del conjunto dereglas principal, una única regla de código abierto establecido para la protección de aplicacionesweb , con base en (WAS TC) Trabajo vulnerabilidad del Comité Técnico de OASIS WebApplication Security , el mercado tenía un estable, bien documentado y estandarizado modelo a


seguir.

En 2003, el trabajo de WAS TC se amplió y estandarizado en toda la industria a través de la listaTop 10 del Proyecto de Seguridad Abierta de Aplicaciones Web (OWASP) . Este ranking anual esun esquema de clasificación para las vulnerabilidades de seguridad web , un modelo paraproporcionar orientación para la amenaza inicial , el impacto, y una manera de describir lascondiciones que pueden ser utilizados por las herramientas tanto de evaluación y de protección,como un WAF . Esta lista se convertiría en el referente de la industria.

En 2004 , los grandes proveedores de gestión de tráfico y de seguridad , sobre todo en la capa de red, entraron en el mercado de los WAF a través de un oleada de fusiones y adquisiciones. La que fueclave fue la de mediados de año de F5 para adquirir Magnifire WebSystems , y la integración de lasolución de software TrafficShield de éste con el sistema de gestión del tráfico Big- IP de laprimera. Este mismo año, F5 adquirió AppShield y discontinuó la tecnología. Una mayorconsolidación se produjo en 2006 con la adquisición de Kavado por Protegrity , y la compra deTeros Citrix Systems.

Hasta este punto , el mercado de los WAF fue dominado por los proveedores de nicho que secentraron en la seguridad de capa de aplicación web. Ahora el mercado está firmemente dirigido a laintegración de productos WAF con las grandes tecnologías de red, de balanceo de carga , servidoresde aplicaciones , servidores de seguridad de red, etc., y comenzó una oleada de cambios de marca ,cambios de nombre y el reposicionamiento de la WAF . Las opciones eran confusas , caras y todavíacasi no comprendidas por el mercado.

En 2006 , se formó el Web Application Security Consortium para ayudar a darle sentido al mercadoWAF ahora ampliamente divergentes. Apodado el proyecto de Criterios de Evaluación Firewall deAplicaciones Web (WAFEC), esta comunidad abierta de los usuarios, los proveedores, los círculosacadémicos y los analistas e investigadores independientes crearon un criterio común de evaluaciónpara su aprobación WAF que aún se mantiene en la actualidad.

En el año 2010, el mercado de WAF se había convertido en un mercado de más de 200 millones dedólares según Forrester.

4.2.- Cortafuegos de aplicación distribuidosLos cortafuegos de aplicación distribuidos están completamente basados en software y suarquitectura está diseñada para separar componentes de forma que estén separados dentro de unared.

Este avance en la arquitectura permite que el consumo de recursos se propaguen a través de una red,en lugar de depender de un solo dispositivo, al tiempo que permite total libertad para escalar amedida que sea necesario. En particular, permite la adición - sustracción de cualquier número decomponentes de forma independiente el uno del otro para una mejor gestión de los recursos. Estemétodo es ideal para grandes y distribuidas infraestructuras virtualizadas, como los modelos denubes privadas, públicas o híbridas.

En el siguiente esquema vemos como sería el funcionamiento de un cortafuegos de aplicacióndistribuido:


Como puede verse el WAF tiene sus módulos distribuidos. Lo más habitual es encontrar los WAFdistribuidos en la nube.

4.3.- Cortafuegos de aplicación basados en la nubeLos cortafuegos de aplicación basados en la nube tienen la particularidad de que son independientesde la plataforma que se esté utilizando y no requiere hacer cambios hardware o software en el host.Sólo se requiere un cambio en el DNS para que todo el tráfico se enrute al WAF y así puedainspeccionarse para detectar posibles ataques.

Los cortafuegos de aplicación basados en la nube son normalmente servicios centralizados, estoquiere decir que la información acerca de los intentos de ataque se comparte entre todos los usuariosdel WAF. Esta colaboración permite mejorar las tasas de detección y así encontrar menos cantidadde falsos positivos.

Al igual que otras soluciones basadas en la nube, esta tecnología es elástica, escalable y se ofrecenormalmente como un “pay-as-you grow service”, que significa que pagas más cuanto másnecesites. Este método es ideal para las aplicaciones web basadas en la nube y los sitios web de


pequeñas y medianas empresas que requieren seguridad de las aplicaciones web, pero no estándispuestos o son capaces de hacer cambios software o hardware en sus sistemas.

Aquí podemos ver como funcionaría un cortafuegos de aplicación basado en la nube.

Algunos ejemplos:

• XyberShield es el único WAF basado en la nube que no requiere un cambio de DNS.

• En 2010 Imperva sacó Incapsula para proveer a las pequeñas y medianas empresas de unWAF basado en la nube.

• Akamai Technologies ofrece una WAF basado en la nube que incorpora característicasavanzadas tales como control de la frecuencia y reglas personalizadas que permitan abordartanto la capa 7 como los ataques DDoS .

• Desde 2012, Penta Security Systems, Inc. ofrece un WAF basado en la nube , llamadaWAPPLES V-Series al público con la asociación estratégica con ISPs.

• Cloudflare

• Shaka Technologies ofrece Ishlangu Load Balancer ADC como WAF basado en la nube.

• Armorlogic Profense Web Application Firewall

• EasyWAF ofrecido por BinarySEC

• ClearWeb propuesto por Nexusguard

• En 2013, dos estudiantes desarrollaron un CWAF de código abierto llamado Ghaim, basadoen ModSecurity y Nginx.


anexo web application firewall

Education