1. WEB APPLICATION
FIREWALL

2. Autor: Miguel Ángel López Moyano Seguridad y Alta Disponibilidad. 2º A.S.I.R.
-2-
Los Firewalls tradicionales trabajan en la capa de red pero no ofrecen ninguna clase de
protección contra los ataques especializados en explotar vulnerabilidades web. Por eso,
hablamos de los Web Application Firewall o WAF.
¿Qué es?
Para empezar tenemos que decir que esta herramienta no es un sustitutivo de otras me-
didas de protección que debe llevar a cabo el desarrollador de la aplicación.
El WAF es un dispositivo que puede ser hardware o software que analiza el tráfico web
(entre el servidor web y la WAN) y protege de diversos ataques como SQL Injection,
Cross Site Scripting, etc. Protege ataques dirigidos al servidor web que los IDS/IPS no
pueden. No enruta el tráfico ni lo NATea, sino que se hacen 2 peticiones diferentes, una
desde el cliente hasta el WAF y otra desde el WAF hasta el servidor web final.
Pueden funcionar como bridge, router, proxy o plugin.
Un ejemplo de WAF a nivel software es el mod_security (plugin de Apache).
Modelos de Seguridad
Positiva
El WAF deniega por defecto todas las transacciones y solo acepta las que considera
seguras. La definición de seguridad la recoge de una serie de reglas preestablecidas
que se definen bien por auto-aprendizaje o bien por configuración manual.
Es recomendable para aplicaciones que no están sujetas a modificaciones de diseño
o funcionamiento con mucha regularidad ya que el mantenimiento de este modelo
puede ser bastante complicado.
Este modelo no depende de ningún tipo de actualización y puede proteger de ata-
ques desconocidos, sin embargo puede detectar falsos positivos y necesitan un pro-
ceso de aprendizaje de funcionamiento de la aplicación.
Negativa
El WAF acepta todas las transacciones y solo deniega las que considera como un
ataque.
Este modelo depende de actualizaciones de las posibles amenazas. Sin embargo son
más fáciles de administrar que los anteriores ya que requieren de menos ajustes.
¿Qué ataques bloquea?
Depende del fabricante del equipo pero la mayoría detectan los ataques más comunes.

3. Servicios de Red e Internet. 2º A.S.I.R. Autor: Miguel Ángel López Moyano
-3-
Puede analizar las variables que llegan por GET o POST, detectando así un buffer over-
flow.
Puede analizar que los valores pasados por GET o POST no contengan valores usados
por Cross Site Scripting o SQL Injection como “selectfrom”, “unión”, “concat”, etc.
Es muy importante tener en cuenta que si nuestra aplicación utiliza caracteres “extra-
ños”, tendremos que configurar el WAF para que no estén incluidos en su “lista negra”
o bien rediseñar la aplicación web para evitar estos caracteres.
Algunos WAF también monitorizan las respuestas del servidor web. Si por ejemplo
detecta cadenas que identifica como cuentas bancarias puede denegar la respuesta al
considerar que se trata de un ataque.
Ejemplo del proceso de aprendizaje:
Si nuestra página tiene una estructura así: GET http://miweb.com/producto.php?id=10,
se creará automáticamente una regla que especifique esta estructura de tal manera que si
se recibe la siguiente petición: GET http://miweb.com/producto.php?id=10„ or 1=1 —
el WAF denegará la petición por considerarla como un ataque o redirigirá a una página
configurada de error.
¿Cómo funciona?
El WAF puede funcionar de varias formas. Cada organización deberá elegir la que más
se ajusta a sus necesidades.
Reverse Proxy: su funcionamiento se basa en un proxy inverso. Esto nos obliga
a hacer cambios en las tablas de DNS o NAT de los firewalls, de manera que el
tráfico que antes iba a las granjas de los servidores web directamente, ahora se
direccionará a nuestro nuevo dispositivo.
En la configuración del WAF tendremos que indicar el servidor/granja de servi-
dores correspondiente al que enviar el tráfico. Se puede virtualizar, de manera
que se puedan analizar varios dominios o aplicaciones con un solo dispositivo,
de forma que según el dominio donde vaya se reenvie a un servidor/granja o a
otro.
Soportan las siguientes características: caching, compresión, aceleración SSL,
balanceo de carga y pooling de conexiones.
Transparent Proxy: su funcionamiento es similar al anterior pero en este caso no
tiene una dirección IP. Permiten interactuar en modo transparente. De esta forma
no es necesario realizar cambios en la topología de red ni en el flujo del tráfico.
Su desventaja respecto a los basados en proxy inverso es que requieren una pa-
rada de servicio mucho mayor en los despliegues.

4. Autor: Miguel Ángel López Moyano Seguridad y Alta Disponibilidad. 2º A.S.I.R.
-4-
Layer 2 Bridge: el WAF funciona como un switch de capa 2. Proporciona alto
rendimiento y no implica cambios en la red, sin embargo no aporta servicios
avanzados como otros modos lo hacen.
Network Monitor / Out of Band: El WAF inspecciona el tráfico de red a través
de un sniffer monitorizando un puerto. Se puede configurar para que además
bloquee cierto tráfico enviando reinicios TCP para interrumpir el mismo.
Host/Server Based: es software que se instala en los propios servidores web. En
este caso se elimina cualquier problema de red adicional que pueda existir, pero
hay que tener cuidado con su instalación en servidores web que tengan mucha
carga ya de por sí.
Algunas desventajas
Como hemos comentado anteriormente, debemos configurar el WAF correctamente ya
que en otro caso pueden detectar continuos falsos positivos y denegar transacciones y en
consecuencia pérdida de clientes o mala imagen de la aplicación.
Por otra parte, pueden introducir algún retardo en el tiempo de respuesta de la aplica-
ción. Para poder minimizar este inconveniente se pueden emplear aceleradores SSL
(dispositivo hardware que se encarga de la capa de protección SSL y así libera de esta
función a servidor web), usar webcache, comprimir datos, etc.
Algunos productos
No comerciales:
- ModSecurity-www.modsecurity.org.
El WAF más utilizado es el proyecto de código abierto ModSecurity. Su empresa es
Breach Security.
ModSecurity normalmente utiliza un modelo de seguridad negativo. Ya hay desarro-
llos basados en este tipo de WAF como el que utiliza Apache añadiendo un módulo
que contiene ModSecurity.
Contiene un grupo de reglas que detectan los ataques web más comunes.
Su consola centralizada permite recolectar logs y alertas, analizando el tráfico web y
creando perfiles que pueden ser utilizados para implementar un modelo de seguridad
positivo.
- Microsoft URLScan
Se trata de un filtro ISAPI que lee la configuración de un archivo .ini en el que se
definen las restricciones. Corre en el propio servidor web.

5. Servicios de Red e Internet. 2º A.S.I.R. Autor: Miguel Ángel López Moyano
-5-
Comerciales:
Como herramientas comerciales, podemos mencionar a F5 (su módulo ASM para
plataformas BIG-IP), rWeb o sProxydeDenyAll, Imperva, IBM DataPower (exclu-
sivamente para servicios Web), Barracuda (que absorbió a NetContinuum), Citrix
(después de comprar Teros), Breach Security.
Diferencias entre IPS y WAF
IPS (IntrusionPreventionSystem) escanea los paquetes que viajan por la red. Actúa de
forma similar al IDS (IntrusionDetectionSystem), comparando los datos de los paquetes
de la red con una BBDD de firmas o detectando anomalías en lo que se le ha definido
como “trafico normal”. Se diferencia del IDS en que el IPS además de recoger logs y
alertas, se puede programar para reaccionar ante lo que detecte. Por este motivo es más
completo que el IDS.
IPS no tiene la capacidad de entender la lógica del funcionamiento de una aplicación
web, por lo que no puede distinguir si una petición es normal o no y puede provocar
falsos positivos.
Básicamente la diferencia entre IPS y WAF está en que WAF tiene capacidad para ana-
lizar la capa 7 de red.
Mientras que IPS compara el tráfico con patrones y anomalías, WAF examina el com-
portamiento y la lógica que se está enviando y devolviendo.
Fuentes:
elhacker.net
http://www.securitybydefault.com
http://www.blogtecnico.net/web-application-firewall-waf/