WAF: cortafuegos que evitan incendios en tu web
Desde el punto de vista de la ciberseguridad, ningún sistema es del todo seguro, ya sea por vulnerabilidades en alguna aplicación, por el factor humano o porque en el momento de la instalación de algún programa, éste no fue del todo bien configurado.
Uno de los sistemas más vulnerables ante ataques externos es el de servicios de «hosting» o alojamiento web. Esto es debido a que además de proporcionar información a cualquiera que la solicite («sirve» contenidos de nuestra página web a los que la visitan), en ocasiones los visitantes también podrán introducir información a través de formularios web, hacer «login» si ofrecemos algún servicio que lo precise, o incluso subir archivos a nuestro servidor, si así lo hemos dejado configurado para nuestra página.
Si alguno de los componentes de nuestro sistema (sistema operativo, software del servidor, gestor de contenidos, base de datos, página web, sistema de pago, etc.) contara con alguna vulnerabilidad o una mala configuración, un atacante podría ingresar información manipulada en algún formulario o subir archivos maliciosos para así aprovecharse de las fallas de seguridad, pudiendo hacerse con el control de nuestro sistema.
Los 10 riesgos más críticos
Estos son los 10 riesgos más críticos que se aprovechan de vulnerabilidades en aplicaciones web según OWASP(Open Web Application Security Project):
| Orden | Descripción |
|---|---|
| 1 | Inyección |
| 2 | Pérdida de autenticación |
| 3 | Exposición de datos sensibles |
| 4 | XEE o Entidades externas de XML |
| 5 | Pérdida del control de accesos |
| 6 | Configuración de seguridad incorrecta |
| 7 | XSS o secuencia de comandos en sitios cruzados |
| 8 | Deserialización insegura |
| 9 | Componentes con vulnerabilidades conocidas |
| 10 | Registro y monitoreo insuficientes |
Consejos básicos de seguridad
Para hacer frente a estos riesgos es esencial seguir una serie de pautas generales:
- Si tenemos el servidor web en nuestras instalaciones:
- situaremos el servidor en una zona desmilitarizada o DMZ,
- tendremos todo el software legítimo, eliminaremos lo que no utilicemos y lo tendremos actualizado,
- utilizaremos doble factor de autenticación para acceder al servidor como administradores, en particular si lo hacemos desde fuera de nuestra red,
- realizaremos o contrataremos una auditoría web que incluya: análisis de malware, de reputación, de cumplimiento legal y escaneo de vulnerabilidades periódicamente,
- verificaremos que cumplimos con la legislación de protección de datos y con la de comercio electrónico si tenemos una tienda online,
- contrataremos un certificado SSL para nuestra página y medios de pago seguros si fuera una tienda online,
- haremos copias de seguridad periódicamente.
- Si contratamos un hosting externo o un hosting cloud nos aseguraremos que garantizan la seguridad de nuestra web como lo haríamos nosotros en nuestras instalaciones firmando buenos acuerdos de nivel de servicio que incluyan al menos los puntos anteriores.
Filtra, monitoriza y bloquea tráfico con WAF
Adicionalmente podemos implantar una solución que puede evitarnos la pérdida o manipulación de información esencial para nuestra compañía. Se trata de los cortafuegos dedicados a aplicaciones web, o WAF (por sus siglas en inglés, Web Application Firewall), una herramienta especializada en filtrar, monitorizar y bloquear las conexiones desde y hacia una aplicación web.
Aunque su funcionamiento más básico es igual para todos los tipos de WAF existen diferentes opciones para desplegarlos:
- In-line Appliance: se despliegan a nivel de red, es decir, como un dispositivo más, ya sea como software (virtualizado) o como hardware (como si fuera un router, un switch, o una impresora conectada a la red).
- End-point: este tipo de Web Application Firewall es desplegado como software, es decir, instalado dentro del servidor que aloja el sitio web. Las tres principales formas de implementarlo son:
- Instalado en el servidor como una herramienta o programa independiente.
- Como complemento de un servidor web como puede ser Apache.
- Como plugin de un gestor de contenidos como WordPress, Drupal o Joomla!
- Cloud-Based: este tipo es desplegado en la nube. El Cloud WAF recibe todas las solicitudes al servidor, las analiza y filtra antes de enviarlas a nuestro servidor. Este tipo de WAF tienen la ventaja de que son configurados y mantenidos por expertos, además de que tienen soporte las 24 horas del día, los 7 días de la semana.
Los cortafuegos en general filtran el tráfico mediante la aplicación de reglas. En el caso de los WAF el tráfico filtrado es el generado entre el navegador del cliente que nos visita y el servidor que aloja nuestra web, en ambos sentidos. Con estas reglas se pueden impedir los ataques web que identifica OWASP y en particular los del tipo inyección y XSS. Con frecuencia tienen además otras funcionalidades de seguridad como antivirus, prevención DoS, protección anti-defacement o monitorización del tráfico.
Además, podemos elegir nuestro WAF según su modo de funcionamiento, es decir, elegir si emplean un modelo de seguridad positiva o negativa:
- Seguridad positiva: deniegan por defecto todas las transacciones y sólo aceptan las que considera válidas según sus reglas. Son más difíciles de mantener pero muy fiables.
- Seguridad negativa: acepta las transacciones y sólo deniega las que considera una amenaza o ataque. Son más fáciles de mantener pero no es tan preciso y requiere actualizaciones de amenazas.
Conclusión
Los cortafuegos WAF son la primera línea de respuesta frente a las peticiones que se realizan a nuestra aplicación web, sin descuidar otras medidas de seguridad. Con ellos podemos denegar o permitir la entrada de solicitudes y respuestas, de acuerdo con las políticas definidas a través de reglas. Son especialistas en filtrado del protocolo http, el que se utiliza entre navegadores y servidores web. Van a requerir de adaptación y configuración, pero el esfuerzo por la seguridad de la web merece la pena.
