El documento presenta una introducción al firewall de aplicaciones web (WAF) de próxima generación de Imperva. Explica brevemente la historia del WAF y cómo ha evolucionado desde 1990 para proteger diferentes tipos de aplicaciones web. También describe las características clave de un WAF de próxima generación, incluida la segmentación de protocolos, la protección de runtime y la integración con soluciones de protección contra DDoS y RASP.

1. © 2015 Imperva, Inc. All rights reserved.
Next Generation WAF
Luis Alfaro
IMPERVA - Westcon
Septiembre 2018

2. © 2015 Imperva, Inc. All rights reserved.
Agenda
1. Historia del WAF
2. Que es un WAF
3. Tendencias
4. Next Generation WAF
#
2

3. © 2015 Imperva, Inc. All rights reserved.
Imperva Next Generation WAF
1. Historia del WAF
1
3

4. © 2015 Imperva, Inc. All rights reserved.
WAF – Web Application Firewall
• Creado en 1990. El producto era un firewall
basado en red que podía manejar solo
pocos tipos de aplicaciones (como FTP o
RSH).
4

5. © 2015 Imperva, Inc. All rights reserved.
WAF
• En 2002, el proyecto de código abierto ModSecurity creo
(OWASP). OWASP, publica con cierta regularmente una lista
con los 10 riesgos de seguridad más críticos de las
aplicaciones web. Esta lista se convertiría en la referencia de
la industria para muchos temas de seguridad en la web.
5

6. © 2015 Imperva, Inc. All rights reserved.
Que es un WAF?
6
• Un firewall de aplicaciones es un dispositivo que se implementa frente a las aplicaciones web y
analiza el tráfico basado en la web (HTTP), detectando y bloqueando tráfico malicioso y aplica
un conjunto de reglas en las conversaciones HTTP para proteger a las aplicaciones de ataques
comunes como son cross-site scripting (XSS) e inyección de SQL.
• En acuerdo con el suplemento de información PCI DSS requisito 6.6, un WAF se define
como “un punto de regla de seguridad colocado entre una aplicación web y el punto
final del cliente.

7. © 2015 Imperva, Inc. All rights reserved.
Opciones de Implementacion
Los WAF se implementan en tres maneras diferentes.
• Transparent bridge
• Proxy inverso transparente (transparent reverse proxy)
• Proxy inverso (reverse proxy).
Transparente se refiere al hecho de que el tráfico HTTP se envía directamente a la
aplicación web. Por eso el WAF es transparente entre el cliente y el servidor. Esto está
en contraste con el proxy inverso, donde el WAF actúa como un proxy y el tráfico del
cliente es enviado directamente al WAF. El WAF luego filtra el tráfico a las aplicaciones
web. Esto puede proporcionar beneficios adicionales, como el enmascaramiento de IP
e proporcionar desventajas como la latencia de rendimiento.
7

8. © 2015 Imperva, Inc. All rights reserved.
Arquitectura de Protección de Aplicaciones Web (Portales y Apps)
End to End
Confidential8
Red de Datacenters web
servers
Hackers
DDoS
Spammers
Legitimate
Traffic
WAF
Load
Balancing
Performance Network
DDoS
Mitigation
Bots
WAF
Technical attacks
OWASP Top-10
Application DDoS
Business logic attacks
Web App Firewall
Malicious
IPs/bots
On-Premisas/Hardware o ApplianceNube

9. © 2015 Imperva, Inc. All rights reserved.
Trends - 2018
9
• El Mercado de Waf se estima en 2.3 Billones de
USD con crecimiento a 5.92 Billones para el ano
2023.
• El Pais mas atacado es Brasil con 264.900 ataques
en 2017, les sigue Estados Unidos, Canada y Reino
Unido.
• El Pais con mayor base instalada de soluciones
WAF es Estados Unidos, Seguido de Europa y Asia
Pacifico este ultimo con crecimientos a doble ditgito.

10. © 2015 Imperva, Inc. All rights reserved.
Trends – 2018 /Gartner Report 2018 Septiembre 5
10
y el RASP?

11. © 2015 Imperva, Inc. All rights reserved.
Tendencias mundiales- Brechas de seguridad 2018 – Verizon DDOS?

12. © 2015 Imperva, Inc. All rights reserved.
DNS
WEB
UDP, TCP
SSH, FTP, Telnet
SMTP
SIP
DDoS Protection Service WAF Protected Assets
Name Server
Protection
Infrastructure
Protection
IP
Protection
Website
Protection
Name Server
Protection
Protocolos Protegidos de un WAF de siguiente generacion
Capacidad de Segmentar los
algoritmos de proteccion por
PROTOCOLO – HTTP es diferente a
DNS y por lo tanto sus ataques
tambien.

13. © 2015 Imperva, Inc. All rights reserved.
Y para terminar - RASP? Que es?
13
• RASP, o Runtime Application Self Protection, existe desde al menos 2012,
tal como lo acuñó Gartner en sus reportes.
• La tecnología esencialmente busca mover las protecciones tradicionales en
línea, como las provistas por un firewall de aplicaciones web (WAF) más
cerca de la aplicación.
• RASP brinda un contexto adicional para tomar decisiones más inteligentes
sobre los ataques a las aplicaciones. RASP es complementario o un
reemplazo directo para WAF.

14. © 2015 Imperva, Inc. All rights reserved. Confidential14
Servidores Web
Hackers
DDoS
Spammers
Legitimate
Traffic
WAF
Load
Balancing
Performance Network
DDoS
Mitigation
Bots
RUNTIME APPLICATION
SELF PROTECTION
RASP
Application DDoS Malicious
IPs/bots
Capa de Presentación Web
• En las instalaciones del Cliente
• En AWS, Azure, Google
• En Nube Privada
• Proteccion de API
En Internet
• WAF en la Nube
• Protección de DDoS de Aplicación
• Protección de DDoS Volumetrico
• Proteccion de API
Business logic attacks
Arquitectura Next Generation WAF

15. © 2015 Imperva, Inc. All rights reserved.
Entonces que deberia usted considerar si va a implementar un
WAF?
Confidential15
Proteccion Completa
OWASP y FirmasAlta Exactitud en la
Deteccion de Ataques
Bajos Falsos Positivos
( Algoritmos de
Aprendizaje)
LISTAS DE REPUTACION
CORRELACIONADAS DE
MUCHAS FUENTES
7X24
Varias opciones de
despliegue, Fisico, Virtual
y Nube incluyendo Azure y
Amazon se debe adaptar
facilmente a la topologia
de red del cliente.
Alta Escalabilidad debe
crecer facilmente y debe
proveer Flexibilidad en la
implementacion.
Perfilamiento Dinamico de
la Aplicacion debe
aprender del trafico, y
poder autoadministrarse. PROTECCION DE API
DDOS Y RASP
WAF END USER BEHAVIOR