Un firewall de aplicaciones web (WAF, pos sus siglas en inglés) aplica un conjunto de reglas a una conversación HTTP. Generalmente, estas reglas cubren ataques comunes como Cross-site Scripting (XSS) e inyección SQL. Mientras que los servidores proxy generalmente protegen a los clientes, los WAF protegen a los servidores. Un WAF se implementa para proteger una aplicación web específica o un conjunto de aplicaciones web. Puede considerarse un proxy inverso.

Los WAF pueden presentarse en forma de dispositivo, complemento de servidor o filtro, y pueden personalizarse para una aplicación. El esfuerzo para realizar esta personalización puede ser significativo y debe mantenerse a medida que se modifica la aplicación.

ModSecurity es una tecnología WAF de código abierto muy conocida basada en firmas, que ha sido utilizada por muchas organizaciones durante casi 20 años, a menudo integrada como un complemento de NGINX y el soporte de Trustwavwe.

El conjunto de reglas básicas (CRS) de OWASP es un conjunto de reglas genéricas de detección de ataques para su uso con ModSecurity o firewalls de aplicaciones web compatibles. El CRS tiene como objetivo proteger las aplicaciones web de una amplia gama de ataques, incluidos los diez principales de OWASP, con un mínimo de falsas alertas. El CRS brinda protección contra muchas categorías de ataques comunes.

Trustwave anunció que el motor de ModSecurity llegó al final de su vida útil (EOL) el 1 de julio de 2024. La decisión de Trustwave simplemente significa el fin del soporte comercial y del desarrollo comercial. ModSecurity comenzó como un proyecto gratuito y de código abierto en 2002. En 2006, fue adquirido por una empresa de seguridad comercial que en 2010 fue adquirida por el proveedor de seguridad Trustwave, que actualmente controla ModSecurity.

¿Oportunidad de cambiar de WAF?

Es considerado una necesidad al menos para el cumplimiento del OWASP Top 10 e incluso para la detección de ataques de día cero. Dos alternativas abiertas son OWASP Coraza y Open-Appsec.

Si bien el proyecto OWASP ModSecurity Core Rule Set (CRS) planea continuar su soporte para ModSecurity, está cambiando su enfoque a un nuevo WAF llamado Coraza, ya que le preocupa la viabilidad del proyecto ModSecurity dadas las acciones y el anuncio de los cambios en Soporte de Trustwave. Actualmente, Coraza está solicitando un conector para Nginx, y se habla de una posible solución Apache basada en WASM. Así que, Coraza podría convertirse en un sucesor lógico de ModSecurity. El proyecto OWASP Coraza WAF es un marco WAF que se puede integrar fácilmente en sus aplicaciones. Admite las reglas CRS de ModSecurity de OWASP y la sintaxis de Modsecurity.

Por su parte, open-appsec (openappsec.io) se basa en el aprendizaje automático para brindar protección preventiva contra amenazas de API y aplicaciones web contra OWASP-Top-10 y ataques de día cero. Se puede implementar como complemento para Kubernetes Ingress, NGINX, Envoy (próximamente) y API Gateways. El motor open-appsec aprende cómo interactúan normalmente los usuarios con su aplicación web. Luego, utiliza esta información para detectar automáticamente las solicitudes que no se incluyen en las operaciones normales y realiza un análisis adicional para decidir si la solicitud es maliciosa o no. En cada solicitud HTTP, se decodifican todas las partes, se extraen las secciones JSON y XML y se aplica cualquier control de acceso a nivel de IP.

Consideraciones finales

El proyecto de criterios de evaluación de firewall de aplicaciones web de WASC OWASP (WAFEC) permite ayudar a evaluar firewalls de aplicaciones web comerciales y de código abierto.

Garantizar la seguridad de las aplicaciones web es hoy más importante que nunca. A medida que las amenazas aumentan en número y gravedad, los WAF están bien posicionados para proteger los activos web de maneras que otros sistemas no pueden.

Con el aumento de los ciberataques contra las aplicaciones web y las API, podría ser el momento adecuado para reevaluar lo que necesita de un WAF e implementar un nivel más completo de protección, confiabilidad y rendimiento necesarios para impulsar el crecimiento empresarial. La empresa de tecnologías de la información (ETI) puede asesorarlo en la selección de la solución de seguridad correcta que le permita escalar la ciberseguridad en su empresa.

Referencias

https://owasp.org/www-community/Web_Application_Firewall

https://owasp.org/blog/2021/12/22/announcing-coraza

https://github.com/openappsec/openappsec

https://www.openappsec.io/

https://github.com/openappsec/waf-comparison-project