Las aplicaciones web son a día de hoy el punto principal de intrusión, de esto no hay ninguna duda que está demostrado y aceptado como cierto . Muchas son las formas y objetivos con los que su seguridad se ve vulnerada.

Incluso por requerimientos de cumplimiento normativo, como de PCI DSS, es un sistema de protección que, como un Firewall de Red, ha pasado a considerarse un requerimiento imprescindible de seguridad.

Son muchos los ataques que pueden sufrir estas aplicaciones web, somos conscientes de ello dado que incluso hemos descubierto alguno de ellos:

• De inyección: SQL Injection, Command –LDAP, MX, OS – injection, etc.
• Cross Site Scripting (XSS).
• Buffer overflows.
• Manipulación de Sesiones.

Un Firewall de Aplicación trabaja a nivel de protocolo HTTP, es decir, no es un simple buscador de patrones en un flujo de información (como actuaria un clásico antivirus). WIPS interpreta el tráfico HTTP, lo descompone y lo analiza parte por parte buscando patrones y comportamientos “ilegales” o “legales” dentro del tráfico tanto entrante como saliente (peticiones y respuestas). Permite rechazar, aceptar y desviar peticiones en función de las reglas de filtrado de forma personalizada.

Es una plataforma basada en software Open Source donde se han añadido e incorporan funcionalidades desarrolladas de forma permanente por nuestro equipo de I+D+i. Además, estas son publicadas de forma que se contribuye con los proyectos de los que nosotros obtenemos un beneficio.

Sus características principales son estas:

• Transparente: Añade protección de aplicaciones sin modificar código fuente. No es necesario reprogramar las aplicaciones.
• Preventivo: Supone una herramienta de protección frente a errores o agujeros de los que no se dispone de parche. Permite protegerse ante vulnerabilidades de nuestro software que no hayan descubierto los equipos de desarrollo o auditorías de caja negra o blanca.
• Preciso: El nivel de decisión de protección es permite una granularidad tan elevada que se puede ajustar a cualquier requerimiento de gestión el acceso a los recursos Web.
• Eficiente: La optimización del rendimiento de la plataforma supone que el impacto es mínimo en el tiempo de respuesta desde el punto de vista del usurio. Añadimos una capa de seguridad sin penalizar la velocidad de uso de las aplicaciones.
• Configurable y Versátil: El hecho de estar basado en un potente motor de expresiones regulares le confiere gran flexibilidad y permite un detallado control sobre todos los aspectos del protocolo HTTP y de todos sus métodos, campos, etc.
• Efectivo: Permite definir con precisión la política de seguridad usando pocas reglas y de esta manera ajustar al máximo el comportamiento a nuestras necesidades.

Las capacidades de la plataforma WIPS y sus características técnicas principales son estas:

• Funciona como un proxy transparente para el usuario. Esto añade una protección extra dado que oculata los servidores protegidos.
• Filtrado de peticiones (utilizando expresiones regulares) a todos los niveles: POST, GET, cabecereas HTTP, Cookies, etc.
• Filtrado de respuestas que permiten evitar fugas de información sobre los sistemas o de negocio.
• Técnicas Anti-Evasión (decodificación URL, parámetros de formularios, múltiples barras (//), etc.).
• Compresión del protocolo HTTP (alta granularidad).
• Análisis de las peticiones POST (POST Payload análisis). No sólo se protege al servidor de ataques sino que también permite evitar fugas de información al usuario.
• Registro detallado, para un posterior análisis forense (IP origen, IP destino, timestamp, datos http completos de las peticiones).
• Filtrado de HTTPS (capacidad de cerrar los túneles SSL entre cliente/servidor).
• Detección y bloqueo de shellcodes (byte range verification).
• Métodos de protección basados en criptografía fuerte que protegen ante ataques de búsqueda de recursos, navegación aleatoria o automática, ataques a la gestión de sesiones, modificación de parámetros y formularios, etc.
• Capacidad de configuración muy afinada que permite proteger servidores web completos, virtual hosts, directorios o ficheros de una aplicación de forma precisa.
• Definición de reglas que permiten usar expresiones regulares y combinarlas entre ellas para incrementar el objetivo de protección.
• Posibilidad de ejecución de comandos externos para realizar controles como revisión vírica de ficheros (integración con antivirus).
• Monitorización de la plataforma mediante SNMP, capaz de integrarse en un sistema como Nagios o similar.
• Capacidad de centralizar logs de forma segura (syslog-ng) en un repotorio central o herramienta SEIM.
• Capacidad de desplagar la platforma en High Availability (HA) activo/pasivo.
• Permite la escalibilidad en Hardware a medida que los servidores protegidos crecen.
• Preinstalado en un servidor de 1U enrackable.

WIPS no es simplemente un producto, es una solución ofrecida mediante un servicio de Seguridad Gestionada.
Nuestro equipo despliega, configura, monitoriza y ajusta la plataforma, descargando al cliente de la tarea diaria de gestión y aprovechando nuestro know-how en seguridad en desarrollo (S-SDLC, Secure Software Development Life Cycle) y auditoría de aplicaciones.

Al personal técnico del cliente se le forma para conocer la plataforma. WIPS no se convierte en una caja desconocida para sus equipos de sistemas, desarrollo y seguridad. Cuanto mejor entendimiento hay sobre la plataforma, mejores resultados se obtienen con ella y más efectivamente se resuelven las incidencias.

Cuando se detectan ataques sobre la plataforma se notifica al cliente para que tome las medidas oportunas: ha pasado a la historia descubrir los ataques web una vez habían sido efectivos y podía ser demasiado tarde .

El cliente dispone de una interfaz web mediante la que se pueden obtener estadísticas a tiempo real de la efectividad de la plataforma.