Hola,
Los chicos de SANS han publicado una entrada con algún que otro enlace interesante para ampliar nuestros conocimientos sobre unos de los grandes desconocidos del mundillo de la seguridad: los Web Application Firewalls (WAF)
Los firewalls de aplicación, o si lo preferís, los cortafuegos de filtrado de aplicaciones, son aquellos elementos que regulan el tráfico existente entre una aplicación y su entorno, normalmente constituido por los servicios del sistema operativo en el que se ejecuta. En el caso de aplicaciones Web, este filtrado se enfoca a las conversaciones HTTP canalizadas por la aplicación Web y los servicios que se relacionan con ella, que en circunstancias normales serán los servidores Web.
Los WAF tienen como objetivo primario prevenir ataques basados en la manipulación de las conversaciones HTTP, como por ejemplo, las inyecciones SQL o el Cross-Site Scripting, así como ataques de modificación de parámetros en peticiones GET y POST, siempre y cuando hayamos definido las reglas de permisividad o bloqueo para este tipo de peticiones. Estos elementos otorgan un grado de protección complementario a otros dispositivos de prevención y regulación existentes en las redes, como los dispositivos de detección y prevención de intrusos, o los cortafuegos tradicionales, con la gran ventaja del coste, ya que es posible obtener cortafuegos de este tipo gratuitos y de código abierto, en los que solo será necesario desembolsar por la puesta en marcha y la operación/mantenimiento del servicio. Este factor resulta muy atractivo para propietarios de redes pequeñas o medianas en las que no haya presupuesto o medios para desplegar soluciones un poco más avanzadas que también permiten el filtrado, como por ejemplo, WebSEAL y similares.
Los WAF tienen cada vez más presencia en redes de mediano y gran tamaño, en buena medida por los requisitos regulatorios, muchos de los cuales instan a que los servicios que soportan aplicaciones en línea orientadas a servicios financieros y/o que empleen datos sensibles en su operativa dispongan de este tipo de elementos de protección. Uno de los casos más recientes es el de PCI Data Security Standard, comentado en el artículo de SANS, que ha convertido en requisito la presencia de estos elementos en los despliegues sujetos al cumplimiento de de este estándar. Anteriormente, operar con la presencia de WAF era, para PCI, una simple buena práctica.
Por cierto, me ha parecido bastante curioso el set de banners que está rotando en el sitio Web de AQTRONIX, autores de WebKnight, uno de los firewalls de aplicaciones Web más populares en el mundo del código abierto. El banner lo sirve Adbrite … y aunque sea offtopic, me apunto hablar sobre publicidad y blogs tocando el tema de la contextualidad de los anuncios en el campo de la seguridad informática :)
Un saludo,