¿Qué es un firewall de aplicaciones web (WAF)?

Habilitación de la entrega segura de aplicaciones para aplicaciones web

Un firewall de aplicaciones web (WAF) es una forma especializada de firewall de aplicaciones diseñado para permitir la entrega segura de aplicaciones basadas en HTTP. A medida que estas aplicaciones se vuelven más frecuentes, las organizaciones han implementado la funcionalidad WAF para inspeccionar el tráfico de red en la capa de aplicación, un nivel más granular que los firewalls de red tradicionales. Implementado como un dispositivo de hardware o software independiente o mediante un controlador de entrega de aplicaciones (ADC) o una solución de equilibrio de carga del servidor (SLB), un WAF ayuda a prevenir ataques que explotan vulnerabilidades como inyección SQL , secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios y configuración incorrecta del sistema.

 

 

El desarrollo del firewall de aplicaciones web

Los firewalls han sido un elemento fundamental de la seguridad de la red desde los primeros días de la conectividad generalizada a Internet. Al monitorear el tráfico entrante y saliente entre sistemas o redes según reglas, un firewall permite a una organización reducir el riesgo de ataques o infracciones.
 
A finales de los años 90,  cuando  las aplicaciones web se hicieron más comunes y los ataques a servidores web aumentaron en consecuencia, los proveedores de seguridad introdujeron dispositivos WAF dedicados para reducir el riesgo asociado con estas aplicaciones más expuestas al público. Además de las soluciones comerciales, el proyecto de código abierto ModSecurity  fue creado en 2002 por  SpiderLabs de Trustwave para ampliar el acceso tanto a la tecnología WAF como a un conjunto estándar de reglas para protegerse contra la lista anual de las 10 principales  vulnerabilidades de las aplicaciones web del Open Web Application Security Project (OWASP)  . Con el panorama de las amenazas cibernéticas que sigue intensificándose y regulaciones como el  Estándar de seguridad de datos de la industria de tarjetas de pago  (PCI DSS) y el  Reglamento general de protección de datos de la UE  que aumentan los requisitos de los estándares de ciberseguridad para el cumplimiento, se ha proyectado que el mercado de WAF alcance los  13.800 millones de dólares para 2027 .

Cómo encaja el WAF en la distribución de aplicaciones

Como sugiere su nombre, un  firewall de aplicaciones web  monitorea, filtra y bloquea los paquetes de datos a medida que viajan hacia y desde las aplicaciones web. El WAF se puede implementar en la red, en el host o en la nube, frente a una o más aplicaciones web o sitios web. Si bien, en teoría, se puede implementar en cualquier parte de la ruta de datos, se debe ubicar de manera óptima detrás del  nivel de equilibrio de carga del servidor  (SLB) y cerca del servidor de aplicaciones que protege.
 
A diferencia de los servidores proxy, que protegen a los clientes, los WAF protegen al servidor en sí, y normalmente funcionan como un  proxy inverso . El WAF, que trabaja en la capa 7 del  modelo OSI , la capa de aplicación, inspecciona y analiza elementos de los paquetes de datos, como el agente de usuario, los encabezados, el referente, las redirecciones y el cuerpo HTML, según reglas definidas y filtra el tráfico potencialmente dañino antes de que llegue al servidor.

Combinación de WAF con equilibrio de carga del servidor en un controlador de entrega de aplicaciones

Los beneficios de  combinar la funcionalidad WAF y ADC  pueden ser considerables. Al ocupar una posición privilegiada de confianza y supervisión en la topología de la red, un controlador de entrega de aplicaciones obtiene una vista completa de todo el modelo OSI desde la capa 2 hasta la capa 7 y puede agregar valor al desempeñar el papel de un WAF. En algunos casos, las organizaciones optan por utilizar un balanceador de carga para implementar las funciones de WAF; por el contrario, un firewall de aplicaciones web también puede ayudar con el equilibrio de carga del servidor al examinar el tráfico HTTP antes de que llegue al servidor de aplicaciones. Las soluciones de firewall de aplicaciones web de próxima generación más completas pueden incorporar funciones de seguridad avanzadas como  prevención de intrusiones  , inteligencia de amenazas  y equilibrio de carga del servidor.

Uso de un WAF para mitigar ataques cibernéticos

A medida que  los exploits de día cero  , las infecciones de malware, la suplantación de identidad y otras amenazas y vulnerabilidades conocidas y desconocidas atacan las aplicaciones web, las organizaciones dependen del WAF para la entrega segura de aplicaciones a una fuerza laboral cada vez más distribuida. Esto también afecta a los clientes que utilizan aplicaciones web públicas, como comercio electrónico, banca en línea, telesalud y transmisión de medios.

 
Las amenazas clave que defiende un WAF pueden incluir:

  • Ataques de inyección SQL  que utilizan un formulario web para enviar comandos SQL, o comandos que contienen caracteres especiales SQL, que activan la base de datos SQL de backend para permitir que usuarios no autorizados accedan a datos confidenciales de la empresa, modifiquen datos de la base de datos y ejecuten operaciones de administración en la base de datos.
  • Secuencias de comandos entre sitios (XSS)  que ocurren cuando un servidor web no puede validar los datos que provienen de otro sitio, lo que permite al atacante obtener información confidencial o comprometer el servidor de otro modo.
  • Exposición de datos confidenciales  donde las aplicaciones web inadecuadamente protegidas permiten a los atacantes filtrar información de identificación personal (PII), información de salud protegida (PHI) y otros datos confidenciales o regulados
  • Ataques de falsificación de solicitud entre sitios  en los que se envía una solicitud HTTP de usuario fraudulenta, incluida la cookie de sesión de la víctima, a una aplicación web vulnerable para robar los datos de la víctima, secuestrar su cuenta o realizar otras funciones ilícitas
  • Ataques de desbordamiento de búfer  en los que un pirata informático manipula un error de codificación para sobrescribir fragmentos de memoria de proceso de una aplicación y provocar excepciones y otros errores que socavan la seguridad de la aplicación.

 

Un WAF puede mitigar los ciberataques en caso de vulnerabilidad de una aplicación web de varias maneras. El contenido HTTP se puede filtrar mediante listas blancas, listas negras o una combinación de ambas, utilizando información sobre direcciones IP maliciosas o seguras conocidas para determinar qué paquetes se deben pasar al servidor de aplicaciones web. Para evitar  ataques de desbordamiento de búfer , un WAF puede establecer umbrales máximos aceptados para aspectos de las solicitudes HTTP y bloquear las solicitudes que superen estos límites. Para disuadir otros tipos de amenazas, el WAF puede eliminar los encabezados de respuesta HTTP para ocultar la información del servidor web necesaria para dirigir un ataque de manera eficaz.
 
Los firewalls de aplicaciones web desempeñaron un papel esencial en la mitigación de la  vulnerabilidad Log4j . Poco después de la  divulgación de la vulnerabilidad Log4J  el 10 de diciembre de 2021, los proveedores de seguridad de red publicaron firmas de prevención para que los WAF detectaran y bloquearan las vulnerabilidades Log4j. En muchos casos, el proveedor actualizó automáticamente las reglas de los WAF, lo que ayudó a reducir el riesgo ante una crisis de ciberseguridad verdaderamente histórica.
 
Si bien el firewall de aplicaciones web desempeña un papel importante en la ciberseguridad, es importante tener en cuenta que un WAF no está pensado ni diseñado para ser una solución de seguridad completa. En cambio, funciona junto con otros elementos de la pila de seguridad perimetral como parte de una estrategia de múltiples capas para detectar, prevenir y mitigar las amenazas cibernéticas.