Los cortafuegos son, en términos tecnológicos, tan viejos como las colinas. Ha habido más cortafuegos de “nueva generación” que de género musical en los 40 y pico años que llevan existiendo. En el fondo, permiten o deniegan paquetes que entran o salen de una red y, por útil que sea, poco más. Cada generación añade algo nuevo a la mezcla de políticas que decide lo que “pasa por la puerta”, pero un gorila mejor informado sigue siendo sólo un gorila. La identificación del usuario, la detección de intrusos, la hora del día, el calzado, el uso del ancho de banda, el peinado o el estado de la sesión TCP siguen sin dictar si algo es seguro o de fiar.
Entra nuestro “solucionador”, que sabe (o al menos puede aprender) bastante más sobre nuestros usuarios y lo que podrían estar tramando: el cortafuegos de aplicaciones web, o WAF. Olvídate de quién puede entrar, un WAF especifica qué comportamientos son aceptables y cuáles no una vez dentro del perímetro. Con un WAF, lo que se permite o deniega son las funciones de la aplicación y la entrada y salida, no el acceso.
Se trata claramente de un enfoque más sofisticado y profundo que una elección binaria entre permitir o denegar. Permite un control detallado y la aplicación de la política de seguridad de una forma más significativa, nos atreveríamos a decir natural. Si un sitio web sólo proporciona información para ser leída o descargada, un WAF te permite asegurarte de que no se cargan archivos en los servidores que la proporcionan. Puede que tus servidores utilicen un backend SQL, pero eso no es motivo para que los clientes incluyan consultas SQL en las peticiones. En pocas palabras, un WAF te protegerá de un usuario malintencionado, al que tu cortafuegos “de red” ya ha dejado pasar, porque no tiene forma de saber la diferencia entre él y un usuario benigno.
El módulo WAF, disponible con nuestra versión del equilibrador de carga avanzado ALB-X, es el primero que lanzamos como contenedor Docker. Se trata de una dirección nueva y emocionante y, de acuerdo con nuestra filosofía, lo más sencilla posible. No es necesario que entiendas los entresijos de Docker o de los contenedores para utilizarlo. Al ser un contenedor, el WAF puede instalarse y actualizarse independientemente del software ALB-X, sin necesidad de reiniciar. También puedes ejecutar varios contenedores WAF para aplicar diferentes políticas a distintos servicios y mejorar el aislamiento. En resumen, hay mucha flexibilidad que explotar con este enfoque.
En este sentido, existen múltiples opciones de implementación, dependiendo de si deseas proteger el tráfico sin cifrar o cifrado (HTTPS) (que debe descifrarse para permitir la inspección). Con HTTPS puedes optar por volver a cifrar el tráfico antes de enviarlo a un servidor real.
El módulo WAF ofrece protección contra las aplicaciones web mal codificadas y sus vulnerabilidades, pero en realidad no debe considerarse una solución única para el código mal escrito con agujeros enormes; trata la causa, no los síntomas. No olvides que la mejor defensa es un enfoque conjunto y en profundidad. Las cookies correctamente formuladas, las reglas de gestión del tráfico flightPATH, las cabeceras y restricciones HTTP adecuadas y otras herramientas combinadas son muy superiores a un único muro aparentemente impenetrable. Asegura todo lo que puedas y puede que la verdadera seguridad te siga.
Ten en cuenta los paquetes y el tráfico (direcciones IP y puertos), los protocolos, las aplicaciones, los servicios y las transacciones. Confía demasiado en las protecciones para un solo elemento y probablemente tendrás problemas. En la misma línea de precaución, ten en cuenta lo siguiente;
- Por muy consciente de la aplicación que sea, un WAF no puede hacer mucho, no es consciente de cómo funciona tu aplicación ni de tu ideal de cómo debería funcionar.
- El WAF utiliza una “base de reglas” común que se basa en una serie de suposiciones que pueden no ser apropiadas para tu aplicación (por ejemplo, no se permiten las cargas de archivos): pruébalo adecuadamente utilizando el modo Detectar por defecto antes de pasarlo a producción.
- Las innovaciones más recientes, como AJAX, HTML5 y otras, pueden no estar contabilizadas o protegidas
Como ocurre con la mayoría de las funciones de ALB-X, la gran ventaja de su implementación en ALB-X es que sólo tenemos que hacerlo en un lugar central para proteger todos nuestros servidores. No necesitamos depender de desarrolladores ni de reconfiguraciones del servidor web. Actualizar el conjunto de reglas de la WAF (la lista de comportamientos inaceptables) también lleva unos pocos clics, y sólo hay que hacerlo una vez, independientemente de cuántas estés ejecutando.
Puedes encontrar más información sobre el WAF aquí: otra novedad interesante que te animamos a consultar. Hay una guía de instalación detallada aquí.
Pruébalo online ahora
Un Cortafuegos de Aplicaciones Web permite un control detallado y la aplicación de la política de seguridad, incluida la gestión de lo que se permite o deniega en las funciones de la aplicación y en la entrada y salida.
