Cortafuegos de aplicaciones web (WAF)

Los cortafuegos de aplicaciones web, o WAF, permiten proteger sus aplicaciones web de ataques sin necesidad de modificar la aplicacin ni tocar una sola lnea de cdigo. Actualmente los ataques contra aplicaciones web se han convertido en una de las amenazas ms serias para las infraestructuras de seguridad informtica al poner en peligro la informacin corporativa y los datos confidenciales de los clientes. Tras normativas gubernamentales cada vez ms estrictas en todo el mundo, y la LOPD en particular para Espaa, proteger las aplicaciones ha dejado de ser una tarea opcional para convertirse en una obligacin de toda organizacin que manipule datos de carcter personal. Las aplicaciones web desplegadas en la parte pblica de internet atraen ataques de hackers y gusanos, constituyendo a menudo el punto ms vulnerable de las infraestructuras de red. Por consiguiente, si no se implantan fuertes medidas de seguridad a nivel de los flujos de transacciones HTTP, HTTPS y FTP, pueden llegar a erigirse en punto de entrada a las redes corporativas, desde las cuales robar informacin confidencial o atacar otros servidores internos. Bajo la amenaza de ataques siempre ms sofisticados, como inyeccin de SQL, manipulacin de parmetros, envenenamiento de cookies, Cross-Site Scripting (XSS), desbordamiento de bfer, entre otros, estas aplicaciones representan eslabones dbiles en organizaciones sometidas a la presin de hacer crecer sus servicios web internos y externos. Los cortafuegos tradicionales trabajan en la capa de red y de transporte, pero al dejar el puerto 80 abierto no ofrecen ninguna clase de proteccin para la aplicacin frente a estos ataques especializados en explotar vulnerabilidades web. Hasta la aparicin de los cortafuegos de aplicaciones web (Web Application Firewall o WAF), este tipo de proteccin slo se poda realizar manualmente mediante una auditora tcnica y posterior revisin del cdigo de las aplicaciones examinadas. Gracias a los WAF, este nivel de proteccin puede alcanzarse mediante un proceso automtico y de mayor fiabilidad, sin necesidad de involucrar a los desarrolladores ni modificar las aplicaciones. . Qu son los cortafuegos de aplicaciones La proteccin de las aplicaciones web plantea un verdadero reto para las organizaciones. Los mecanismos tradicionales de proteccin perimetral como los cortafuegos o los IDS de red normalmente sirven de poco o de nada a la hora de frenar los ataques web. Hay que tener en cuenta que para ofrecer al exterior servicios web el cortafuegos debe dejar abiertos el puerto 80 para el protocolo HTTP y el puerto 443 para el protocolo HTTPS en caso de utilizarse el cifrado de datos con SSL. En ambos casos, los ataques dirigidos contra el servidor web estn codificados en los mensajes de los protocolos HTTP/HTTPS y, por lo tanto pasan tranquilamente a travs del cortafuegos. Significa esta limitacin que el cortafuegos no sirve de nada? En absoluto. El cortafuegos de red es fundamental para proteger frente a otros tipos de ataques que tambin pueden ir dirigidos contra el servidor web, como ataques de denegacin de servicio, o dirigidos

contra otros posibles servicios del servidor web no ofrecidos al exterior. Pero eso s, no sirven de nada contra los ataques especficos de HTTP/HTTPS. Por otro lado, los sistemas de deteccin de intrusiones (Intrusion Detection System o IDS) estn especializados en la deteccin de ataques de red, monitorizando el trfico TCP/IP en busca de paquetes maliciosos, pero sin entrar a analizar trfico dentro del protocolo HTTP, ya que no entienden su significado, por lo que tambin a ellos les pasan desapercibidos los ataques web, ms an si viajan cifrados a travs de HTTPS. Aunque pueden configurarse ciertas reglas para detectar estos ataques, los NIDS no resultan apropiados ya que fueron concebidos con otra finalidad en mente. Ni siquiera el uso de SSL protege frente a ataques web, ya que su funcin reside en cifrar el trfico. En otras palabras, protege su confidencialidad e integridad, pero nada impide que las peticiones que llegan al servidor cifradas con SSL contengan ataques.