¿Qué es un Firewall de aplicaciones web (WAF) y cuáles son algunas de las cosas que debe buscar de manera efectiva? ¿Por qué implementaría un WAF en lugar de solo un IPS?
Un servidor de seguridad de aplicaciones web (WAF) es un dispositivo, un complemento de servidor o un filtro que aplica un conjunto de reglas a una conversación HTTP. Al hacer uso de las reglas, se pueden detectar y bloquear muchos ataques, como los scripts entre sitios (XSS) y la inyección de SQL.
Para obtener una descripción más detallada, consulte el sitio web de OWASP y Wikipedia .
Cuando se trata de elegir un Firewall de aplicaciones web, hay una buena lista en Wikipedia . Personalmente recomendaría ModSecurity cuando utilice Apache.
Al elegir un WAF personalmente, las dos cosas más importantes que consideraría son qué tan efectivo es su conjunto de reglas predeterminado (también conocido como qué tan efectivo es el paquete) y cuán personalizable es el conjunto de reglas para adaptarse a su aplicación específica. La mayoría de las veces, al usar el conjunto de reglas predeterminado, las aplicaciones se romperán y el conjunto de reglas necesitará modificarse. Obviamente, lo que se debe tener en cuenta es qué tan efectivo es su registro, qué tipo de velocidades puede manejar, qué plataformas puede soportar y qué tan bien mantenido está. Al igual que con cualquier cortafuegos, es necesario mantenerlo actualizado para que funcione de manera óptima contra nuevos ataques.
Aunque algunos sistemas IPS como Snort tienen conjuntos de reglas que pueden monitorear los ataques de aplicaciones web. En mi experiencia, he encontrado que un IPS es mejor para detectar ataques a nivel de red y un WAF con un buen conjunto de reglas funcionará mejor para capturar cosas en la capa de aplicación. Además, al utilizar un WAF, tiene una mejor opción de respuestas que con un IPS en el que no tiene que elegir entre bloquear o permitir, sino que puede asumir acciones.
Lea otras preguntas en las etiquetas web-application firewalls waf