O que é um Web Application Firewall?
Com a massiva utilização de aplicações web, regulamentos governamentais e evolução nos ataques web, como roubo, espionagem, vandalismo e fraude. Os métodos de controles tradicionais de segurança se tornam ineficientes, consequentemente causando prejuízos relacionados a exposição aos ataques. É necessário um investimento em soluções de segurança, dentre elas, o firewall de aplicação web é colocado no topo da lista, por ser escalável, também por adequar-se bem em qualquer tipo de negócio e permitir uma visibilidade das principais ameaças, torna-se fundamental para qualquer ambiente, independente do tamanho que tiver.
Podem ser executado como appliance de rede, plug-in de servidor ou serviço de nuvem. Independente da forma de execução, sua tarefa é a mesma, monitorar, filtrar e bloquear pacotes que sejam tratadas como potenciais ameaças, além de proteger aplicações web contra vulnerabilidades criadas por má codificação.
O que são os WAFs?
Voltando um pouco na história, o conceito de firewall tomou força com o cenário gerado após a criação do TCP/IP, e suas respectivas camadas e a expansão física da rede, na década de 80.
Com esta necessidade surgiu a primeira proposta de firewall, ainda bem limitado, basicamente como um filtro de pacotes.
Como o próprio nome sugere, é tipo de firewall que monitora, detecta e bloqueia ameaças de uma aplicação web, para isto, são usados um conjunto de regras de configuração (políticas) e assinaturas de cabeçalho do pacote, para que detecte o que deve ou não interpretar como malicioso. Os WAFs fornecem proteção garantida contra as 10 ameaças mais críticas identificadas pela comunidade da OWASP (Open Web Application Security Project):
- Injection;
- Broken Authentication and Session Management;
- Cross-Site Scripting (XSS);
- Broken Access Control;
- Security Misconfiguration;
- Sensitive Data Exposure
- Insufficient Attack Protection;
- Cross-Site Request Forgery (CSRF);
- Using Components with Known Vulnerabilities;
- Underprotected APIs.
Essa tecnologia, pode usar um appliance de rede, client/server, local e serviço em nuvem.
- Appliance de rede
Normalmente baseado em Hardware e localmente, tende a ser mais rápido porém com maior custo. - Client/Server
Baseado em software, customizável a um baixo custo, alguns gratuitos como o OSSEC, porém sua gestão pode ser um desafio pois dependem de ambiente compatível (.net ou Java), dependências locais e recursos do servidor. - Serviço em nuvem
Geralmente administrados pelos provedores de serviço, adquirido em um modelo de assinatura com baixo custo e fácil implantação.
Mesmo com diferentes formas de execução, sua função com relação a segurança da aplicação web continua a mesma, tendo em vista que muitas vezes as aplicações web são projetadas com falhas de segurança, seja por falta de testes de segurança ou por serem propriamente legadas tendo sérios riscos caso sejam refatoradas para corrigir estas brechas.
A OWASP (Open Web Application Security Project) enfatiza que a segurança da aplicação nestes casos é responsabilidade do WAF e não da aplicação, embora seja bem eficaz, não é uma solução definitiva, devemos ter outras soluções de segurança de perímetro de rede, sistemas de prevenção contra intrusões e como firewalls de rede, para fornecer uma estratégia de defesa holística. Lembrando que detecção é importante, mas investir em investigação é fundamental para ter uma rede e aplicações longe de mãos criminosas.
Saiba mais, clicando aqui, sobre o Sistema Avançado de Ameaças Avançadas, fornecido pela 4Security.
“A WAF is defined as a security solution on the web application level which – from a technical point of view – does not depend on the application itself.”
Pode ser adotado um modelo positivo, negativo ou uma combinação dos dois.
modelo positivo é caracterizado por ter inicialmente tudo bloqueado e as regras são elaboradas para fornecer maior acesso. Esta abordagem exige um alto nível de cuidado e informações para que nenhum usuário legitimo seja falso negativo.
Tudo está bloqueado, ao adicionar regras define o que é acessível.
- Prós: proteção muito melhor em comparação com o modelo negativo
- Contras: requer “Whitelisting”? a fim de não bloquear visitantes legítimos
Modelo negativo também conhecido como modelo “baseado em assinatura” utiliza-se da ideia que o invasor está usando técnicas que já foram descobertas e possuem patches de atualização, sendo necessária uma grande atenção na atualização das regras do WAF. Também alivia o falso negativo em usuários legítimos.
Você decide o que não é válido e permite o restante
- Prós: Maior facilidade na implementação, na maioria dos casos
- Contras: você está vulnerável a quaisquer vetores (ataques de dia zero) que não tenham assinaturas no seu WAF.
A importância da segurança tem se mostrado fundamental, dentre outros fatores, com o crescimento e evolução dos ataques. Independentemente do tipo de WAF executado é importante saber que ele é essencial quando se trata de aplicações web e mais ainda quando possui aplicações legadas que por muitos fatores não podem ter correções na sua codificação. Mas é apenas uma ferramenta neste grande ecossistema tecnológico.