¿Un Firewall de aplicación web solo protege la capa 7 de OSI?

2

¿Tiene un Firewall de aplicación web (WAF) que protege la capa de aplicación 7, y también protege otras capas de la la interconexión de sistemas abiertos ( OSI) modelo ?

    
pregunta Bob Ortiz 22.06.2016 - 22:48
fuente

1 respuesta

5

Debido a la necesidad arquitectónica, los cortafuegos de aplicaciones web (WAF) también protegen contra ataques en otras capas . Sin embargo, estas protecciones son en gran parte incidentales y no exhaustivas. Permítanme ilustrar esto con algunos ejemplos:

Capa de presentación : supongamos que la aplicación que se va a proteger utiliza TLS. Si es así, el dispositivo WAF debe, por definición, terminar la conexión TLS del cliente para descifrar los datos de la aplicación y aplicarle su lógica de Firewall de la aplicación.

Lo que esto significa en la práctica es que un atacante potencial nunca interactúa con la pila TLS en el host objetivo (Aplicación) . Y mientras que el backend puede estar ejecutando uno de cualquier número de Application Frameworks, todos los cuales tienen su propia implementación TLS con sus propias peculiaridades, el WAF generalmente será construido y vendido por alguien que se dio cuenta de que TLS es un gran problema para hacerlo bien. (En mi experiencia, F5 es bastante bueno para actualizar su TLS según sea necesario).

De modo que el WAF proporciona protección en la capa de presentación, de hecho (si no es como un punto de venta).

Capa de sesión : un WAF a menudo inyecta sus propias cookies de seguimiento para ayudar a detectar y evitar que las personas jueguen con los datos del punto final de la sesión. Esto se debe en parte a que WAF necesita proteger [cualquier] aplicación en el backend, pero complementa muy bien el hecho de que "para la aplicación [aleatoria (cualquiera)], se supone que fue escrita sin ninguna protección de sesión razonable".

Capa de transporte : al igual que TLS, TCP terminará en la WAF, lo que exime a los servidores de aplicaciones de interactuar directamente con el cliente. Cualquier ajuste a los paquetes, cualquier fragmento superpuesto, cualquier juego de violación del estado se romperá contra WAF y no contra el servidor de aplicaciones. ¿El WAF podrá manejarlos mejor? Es difícil de decir, pero el atacante todavía no alcanzará su objetivo.

Capa de red : de nuevo, al finalizar las conexiones y abrir nuevas conexiones al servidor de aplicaciones, el WAF aislará el servidor de aplicaciones de los ataques de capa IP ... Por ejemplo, esperará hasta el protocolo de enlace de 3 vías externo (cliente) (3WHS) se completa antes de iniciar el 3WHS interno (del servidor), lo que mitiga las sinflujos.

Estas protecciones son generalmente incidentales y no están diseñadas. El fabricante de WAF no está poniendo la capacidad de inspección de estado de, por ejemplo, un CheckPoint en su WAF; solo esperan tener una conexión externa válida y con estado antes de abrir la conexión interna. El WAF puede usar la pila OpenSSL TLS, al igual que el Servidor de aplicaciones, y ambos son vulnerables a los mismos problemas ... pero el WAF está a un paso de los datos útiles de la aplicación que el atacante desea obtener. .

* La definición que estoy usando aquí es "TLS moderno prefiere cifrados de clave efímeros que eliminan la capacidad de un oyente pasivo para descifrar el tráfico, así que supongamos que cualquier cosa con TLS en estos días tendrá que ser terminada para ser descifrada . "

    
respondido por el gowenfawr 22.06.2016 - 23:42
fuente

Lea otras preguntas en las etiquetas