WAF: Conoce qué es un Web Application Firewall

Jun 12, 2021 | Ciberseguridad

Un WAF (Web Application Firewall) protege de ataques al servidor de aplicaciones web en el backend. Conoce más sobre esta valiosa herramienta de ciberseguridad.
WAF: Conoce qué es un Web Application Firewall
Tiempo de lectura: 8 minutos

A raíz de la pandemia, los ciberataques cobraron mayor relevancia en el mundo por diversas razones: la cuarentena que obligó a millones de personas a trabajar desde casa empleando nuevas tecnologías de trabajo remoto, pero también el incremento de las compras en línea y las transferencias bancarias.

Por ello, un informe del Foro Económico Mundial califica a los ciberataques como un riesgo global, lo que significa que tendrán un impacto negativo en distintas industrias en una década.

Dicho informe, realizado en 2020, vislumbra diez principales riesgos para la próxima década; dos de estas grandes preocupaciones por parte de expertos en la materia son: un aumento de ciberataques a infraestructuras tecnológicas y daños en busca de dinero por parte de los delincuentes informáticos.

Afortunadamente, así como aumentan los riesgos, también se desarrollan nuevas herramientas de seguridad como es el caso de las Web Application Firewall (WAF), una barrera que se convierte en el principal obstáculo para los ataques y que se complementa con otras de las aplicaciones de seguridad que las empresas están utilizando para salvaguardar su información y la de sus clientes.

El documento hace énfasis en que los ciberataques se están volviendo mucho más comunes e, incluso, hasta normales en determinados sectores como el financiero, de salud, energía o transporte, impactando negativamente a ciudades enteras.

De igual forma, la tecnología denominada Internet de las Cosas (IoT), que es una opción aún muy novedosa para los usuarios, deja puertas abiertas, lo que hace las cosas más sencillas a los ciberdelincuentes.

«Estos avances tecnológicos están basados en la conectividad integral. A medida que avanza la transformación digital, seguimos creando una sociedad más cohesionada y conectada. Los datos son actualmente compartidos y utilizados por más plataformas que nunca —en el centro de datos, en la nube e incluso en dispositivos de la internet de las cosas (IdC), por ejemplo— y esta tendencia no hará sino aumentar. Pero este enorme beneficio tiene un coste. Cuanto más conectados estamos, más vulnerables son nuestros datos», dice el informe del Foro Económico Mundial.

¿Qué es Web Application Firewall? 

¿Qué es un WAF en informática? Web Application Firewall (WAF, por sus siglas en inglés) es una defensa de protocolo de capa 7 en el modelo OSI; en otras palabras, es un muro de contención que ayuda a proteger los sistemas web porque se sitúa justo entre el usuario y los servidores.

Filtra y monitorea el tráfico HTTP entre la aplicación web e internet evitando la falsificación de cross-site, cross-site-scripting (XSS), además de la inclusión de archivos y la inyección de SQL. 

Este escudo que se sitúa entre el sistema web e internet facilita que un servidor proxy salvaguarde la identidad de una máquina cliente gracias a un intermediario. Así, el servidor no queda expuesto ya que los clientes deberán pasar por el WAF antes de llegar al servidor. Esto bloquea muchos de los intentos de ciberataques que sucederán precisamente en el WAF, pero no en las máquinas de los usuarios. De esta manera, WAF es un tipo de proxy inverso que protege al servidor.

Sin embargo, no puede defender todos los tipos de ataques. Esta herramienta de ciberseguridad debe complementarse y trabajar en paralelo con otras, aunque debemos reconocer que el valor de WAF recae en las políticas de su configuración, que son fáciles de implementar, por lo que permite una respuesta más rápida a los distintos tipos de ataques.

¿Para qué sirve un WAF?

Un Web Application Firewall protege las aplicaciones web porque filtra, monitorea y bloquea cualquier tráfico HTTP malicioso que viaje a la aplicación web y evita que los datos no autorizados salgan de la aplicación.

El WAF examina cada petición enviada al servidor, antes de que llegue a la aplicación, para asegurarse de que cumple con las reglas del firewall. Las características WAF pueden ser implementadas en el software (requiere la instalación de una aplicación en el sistema operativo), o bien en el hardware (integrando las funcionalidades de una solución de appliance). 

Como podrás ver, el WAF conoce al usuario, la sesión y a la aplicación. También sabe cuáles son las aplicaciones web que hay detrás y los servicios que ofrecen y analiza todas las comunicaciones antes de que lleguen a la aplicación o al usuario.

Los WAF tradicionales garantizan que sólo se puedan realizar las acciones permitidas (basadas en la política de seguridad). 

Para que esto suceda debe programarse, de ahí que sus políticas de configuración son sumamente importantes, ya que el departamento de TI debe definir qué tráfico es malicioso y cuál es el seguro.

Esta es la razón por la que se le compara con un servidor proxy que protege la identidad de un cliente, solamente que el WAF lo hace a la inversa, protegiendo el servidor de aplicación web de un ciberataque.

¿Qué protege un Web Application Firewall?

Como ya mencionamos, las políticas de configuración son indispensables y deben analizarse periódicamente para incluir nuevas áreas vulnerables. Por fortuna, algunas versiones de WAF cuentan con aprendizaje automático y también su actualización se lleva a cabo de manera automática. De esta manera protege contra:

  • Ataques de inyección de SQL
  • Autenticación rota
  • Exposición de datos sensibles
  • Entidades externas XML (XXE)
  • Control de acceso roto
  • Configuraciones incorrectas de seguridad
  • Secuencias de comandos entre sitios (XSS)
  • Deserialización insegura
  • En conjunto con un antivirus ayuda a prevenir ataques de Pharming.

¿Cómo funciona un WAF?

El Web Application Firewall opera por medio de un conjunto de reglas, normalmente denominadas directivas. Estas directivas deben definirse por el departamento de TI para determinar cuál es el tráfico seguro y cuál el malicioso.

De esta forma, podrán detectar e identificar el tráfico malicioso y filtrar antes de que llegue al servidor. Así que su funcionalidad depende de que se lleven a cabo las directivas precisas ante diversos vectores de ataque. 

Al ser un firewall para aplicaciones web tiene cinco etapas en su funcionamiento:

  1. Analiza el paquete HTTP proveniente del cliente
  2. Elige la regla dependiendo del tipo de parámetro de entrada previamente determinado.
  3. Normaliza los datos para un análisis adecuado.
  4. Aplica la regla de detección de tráfico seguro y del malicioso.
  5. Toma la decisión sobre la nocividad del paquete HTTP. De manera específica, el WAF finaliza la conexión o pasa al nivel de aplicación.

El punto 4 es el que deberá ser analizado y terminado por el departamento de TI, aunque existen algunos puntos basados en WAF que son los más empleados:

  1. Expresiones regulares
  2. Tokenizadores
  3. Analizadores léxicos
  4. Reputación de paquetes
  5. Detección de anomalías
  6. Generadores de puntuación.

Tipos de WAF

Existen tres tipos de Web Application Firewall y se emplean dependiendo de la información que se desee proteger, del tipo de organización y, por supuesto, del presupuesto disponible.

  • Basado en la red (suele estar basado en un hardware): Se instalan de manera local y reducen la latencia. Son costosos, requieren de alto mantenimiento de los equipos físicos y, dependiendo de la cantidad de información, suelen necesitar mayor cantidad de almacenamiento.
  • Basado en host: Se integra en el software de una aplicación. Se personaliza de manera más sencilla, pero consume los recursos del servidor local. Su implementación es un tanto compleja y su mantenimiento es costoso, aunque mejor al WAF basado en hardware.
  • Basados en la nube: Además de que han tenido un gran boom en su preferencia, son mucho más fáciles de implementar y suelen ofrecer una instalación lista para usarse que implica hacer un cambio en el DNS para redireccionar el tráfico. Su mayor fortaleza es que el precio es mucho más bajo que el basado en software y el de hardware puesto que existen cuotas iniciales que pueden cubrirse de manera mensual o anual según sean las preferencias del cliente. Los WAF basados en la nube están en constante actualización y esta ventaja está a disposición de los clientes; para algunos es la solución ideal, aunque habrá quien considere que la responsabilidad de la seguridad está en la empresa que ofrece el servicio (que siempre será un tercero).
  • Basado en la nube completamente administrado como servicio: Enfocado para las empresas que tienen recursos limitados de personal de TI pues es una opción rápida y sin complicaciones.
  • Basado en nube y autoadministrado: La empresa podrá conservar el control de la administración del tráfico y la configuración de las políticas de seguridad.

Relacionado: ¿Qué es el almacenamiento en la nube?

Ahora bien, existen WAF basados en listas negras y otros en listas blancas. Los basados en listas negras se refieren a los modelos de seguridad negativa (protege contra ataques conocidos) e impiden la entrada a todo aquello que no cumpla con el código establecido o a las directivas previamente establecidas.

Mientras que el de listas blancas (modelo de seguridad positiva) admitirá todo el tráfico aprobado previamente.

Cada uno tiene sus ventajas, así que será decisión de cada empresa basarse en uno de los dos, o bien, optar por un modelo híbrido.

Beneficios de un Web Application Firewall 

Los Web Application Firewall protegen las redes de posibles amenazas que todavía no se han identificado como zero day exploits, vulnerabilidades de seguridad, inyecciones de SQL, ataques de secuencias de comandos entre sitios y otras amenazas que usan como vector de ataque el navegador. 

Otra de sus grandes ventajas es que mitigan los ataques de botnets o eventos de tráfico excesivo manteniendo el tráfico limpio deteniendo los flujos de datos maliciosos.

WAF de Fortinet (Fortiweb) 

Fortinet FortiWeb

La compañía Fortinet ofrece una solución de Web Application Firewall llamada FortiWeb, cuya principal ventaja es que protege a la empresa de ataques dirigidos a vulnerabilidades conocidas y desconocidas.

FortiWeb evoluciona rápidamente y actualiza las amenazas conocidas integrando las nuevas.

En este punto nos referimos a que de manera automática reconoce el comportamiento normal del usuario e identifica el tráfico benigno del malicioso sin necesidad de requerir un aprendizaje manual de aplicaciones que requiere de tiempo del personal de TI y de otro tipo de soluciones.

FortiWeb identifica claramente comportamientos anormales distinguiendo entre las anomalías maliciosas y las benignas. Por si fuera poco mitiga bots malignos pero sin detener los benignos como los motores de búsqueda que son necesarios y sumamente empleados. 

FortiWeb está disponible en muchos factores para satisfacer necesidades que van desde appliances de hardware a nivel de entrada, hasta opciones sofisticadas de máquinas virtuales que se pueden incorporar a los entornos más recientes en la nube.

Gracias a esto, ofrece seguridad en cuestión de minutos eliminando el tiempo de la configuración y ofreciendo módulos de seguridad adicionales de manera gratuita.

Es así como FortiWebCloud no requiere mantenimiento de hardware ni software y puede reducir significativamente los costos de transferencia de datos salientes.

Y, por supuesto, existen distintas opciones de compra. Brinda protección contra las 10 vulnerabilidades más importantes clasificadas por el Open Web Application Security Project (OWASP, por sus siglas en inglés).

WAF de Microsoft Azure

Microsoft tiene su propia solución WAF dentro de su producto Azure. Recordemos que Microsoft Azure para empresas, es la propuesta de la empresa para cómputo en la nube o almacenamiento en la nube. Ofrece una serie de servicios on demand, no solamente para el almacenamiento, sino también para la administración de datos. Incluso, también tiene opciones para los clientes que desean crear aplicaciones web complejas, mejorar sus prácticas de ciberseguridad y muchas características más.

Al igual que con otras plataformas de nube pública, algunas organizaciones utilizan Azure para el respaldo de datos y la recuperación ante desastres. 

De manera específica, Microsoft Azure WAF aumenta la protección de las aplicaciones web frente a ataques de ciberdelincuentes y protege contra: inyección de código SQL y el scripting entre sitios. Si se trata del servicio Azure WAF nativo en la nube, puede implementar instancias en solo unos minutos y como gran beneficio se paga solamente lo que la compañía realmente esté usando.

Permite que se visualicen las alertas prácticamente en tiempo real y permite que se personalicen las reglas nuevas para satisfacer los más novedosos requisitos de seguridad de las aplicaciones. Esta opción de Microsoft se complementa y trabaja de manera conjunta con otras de las soluciones de la firma como Azure Security Center y, por supuesto, brinda protección a las 10 vulnerabilidades de la OWASP.

No olvidemos que WAF es una solución sumamente eficiente que funciona como un servidor proxy invertido y que no dejará pasar conductas no reconocidas, además de que tiene la ventaja de configurarse de manera muy sencilla en su versión de cómputo en la nube.

Sin embargo, es sólo una parte de la solución en la que los encargados de TI deben trabajar para salvaguardar la integridad de la información.

Lo más recomendable es que antes de tomar decisiones busquen la opinión de expertos. En Tec Innova conocemos las distintas herramientas que existen en el mercado y, por supuesto, las ventajas competitivas que cada una de ellas ofrecen para los distintos públicos que las requieren. Las soluciones se deben considerar y realizar a la medida de cada uno de los clientes, en beneficio de sus datos y de su operación.

Si requiere una cotización o asesoría sobre soluciones en ciberseguridad, póngase en contacto.

Marcelo Ivan Sotelo Santamaria

Marcelo Ivan Sotelo Santamaria

Licenciado en Administración de Empresas, con más de 20 años de experiencia en Tecnologías de la Información y Ciberseguridad.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos relacionados

Fortinet para protección de SAP

Fortinet para protección de SAP

Ago 10, 2023

En los últimos años, cada vez más empresas han migrado la gestión de sus operaciones hacia las soluciones tecnológicas como el ERP de SAP Business ONE. Los líderes empresariales reconocen que los softwares de gestión empresarial les han permitido adoptar prácticas que...

leer más
¿Qué es la solución de comunicaciones unificadas?

¿Qué es la solución de comunicaciones unificadas?

Ago 1, 2023

En las empresas, implementar una solución de comunicaciones unificadas permite mejorar la colaboración e incrementar la productividad entre los colaboradores. Hoy en Tec Innova te contaremos en qué consiste este sistema y cómo ayudará a tus empleados a mejorar su...

leer más
Tipos de direcciones IP: conócelas

Tipos de direcciones IP: conócelas

Jul 20, 2023

Probablemente más de una vez hayas escuchado el concepto de dirección IP: algo que usamos a diario mientras navegamos por internet, aunque no nos damos cuenta de su importancia. Hoy en el blog de Tec Innova te contaremos qué son y cuántos tipos de direcciones IP...

leer más