WAF o Web Application Firewall, es un componente que puede filtrar, bloquear y monitorizar el tráfico de una aplicación web.
Una de las tareas del WAF, es buscar en las peticiones web, firmas conocidas que son usadas mayormente por escáneres y atacantes. Una firma es por ejemplo una consecución de caracteres o palabras las cuales tienen un significado y en este caso tienen una posibilidad alta de ser un ataque. Las reglas del WAF, están hechas para prevenir cualquier ataque posible ya sea en el presente o en el futuro.
Una buena práctica en el desarrollo de la aplicación web es tener en cuenta las firmas del WAF, ya que, si se programa una aplicación que haga la petición web teniendo en la URL una firma, estas peticiones serán bloqueadas por el WAF. Por eso es muy importante concienciar a los desarrolladores sobre las firmas que se están utilizando en el WAF.
También, hay empresas que tienen proveedores externos que necesitan hacer peticiones a una aplicación web. En ocasiones, estos proveedores externos son bloqueados por el WAF ya que están redirigiendo a los clientes desde una página suya, que tiene en la URL contenido que hace saltar la alerta del WAF debido a una firma, a la aplicación web. Esto quiere decir que en la cabecera “Referer” de la petición, podemos encontrar la URL del cliente con la firma del WAF en ella. De esta forma, el WAF está bloqueando todas las peticiones que vienen de clientes siendo redirigidos desde la página de este proveedor.
¿Entonces que se hace en estos casos?
Primero de todo, explicar el problema a los proveedores, las implicaciones que puede tener el quitar esta firma en el WAF y sobre todo que estas peticiones vienen de los usuarios de la red y no desde ellos. Hay que actuar de forma proactiva, esto quiere decir que el que tiene que hacer un cambio, es el proveedor en su URL para no incluir la firma que está haciendo alertar al WAF. Porque, aunque actualmente no tengas ninguna vulnerabilidad en tu página web y la redirección no te afecte, en un futuro, puede afectar.
El WAF tiene que bloquear el máximo de peticiones maliciosas que vengan hacia tu aplicación web, tengas o no tengas vulnerabilidad. De esta manera, te ahorrarás el hecho de que en algún momento se haga un cambio en la aplicación web, y un ataque con las firmas del WAF que no puede explotar ninguna vulnerabilidad y que por esta razón se quitó, empiece a poder explotar la vulnerabilidad y que esto suponga un posible problema para la empresa.
La importancia de una buena comunicación
Es importante mantener una buena comunicación entre los que configuran el WAF y el resto de los trabajadores. Normalmente se quitan firmas que no aplican a los lenguajes utilizados en la aplicación para ganar rendimiento en el WAF. Si en algún momento, se añade un lenguaje de programación a la aplicación, tiene que ser comunicado a los trabajadores que configuran el WAF, para que se configuren las nuevas firmas relacionadas con el nuevo lenguaje de programación lo más rápidamente posible.
Una mala comunicación sobre los cambios hechos en una aplicación web con los que configuran el WAF, puede suponer como mínimo bloqueos no esperados en la aplicación y vectores de ataque nuevos abiertos a los atacantes. Dependiendo de la empresa esto puede suponer desde un euro de pérdida hasta millones.
La concienciación de los empleados
Es importante concienciar a tus trabajadores sobre las listas blancas de IPs. El poner una IP en la lista blanca, significa que esta IP puede hacer cualquier ataque a tu aplicación web y el WAF lo dejará pasar. Muchas veces se piensa que como la IP es de un proveedor, no pasa nada por dejarles hacer cualquier ataque a la aplicación web, ya que ellos nunca harían nada malo. En realidad, no se está pensando en el hecho de que el servidor que tiene esta IP pública, puede ser vulnerado por un atacante, y desde esa IP puede estar intentando vulnerar la aplicación web, el cual no tendrá ningún impedimento durante el ataque. En estos casos las mejores maneras de proceder son las siguientes:
- Hacer que el proveedor, arregle las peticiones que están generando el bloqueo.
- Configurar el WAF, de forma que no ponga totalmente en lista blanca a la IP, sino que se hagan excepciones para este proveedor, sólo en las peticiones que están siendo bloqueadas y monitorizar estas excepciones.
Para terminar, remarcar que la concienciación sobre el WAF en una empresa es un factor importante que en muchos sitios hace falta para tener una buena línea de defensa y que como siempre, una buena comunicación es vital para un buen funcionamiento de una empresa.
Si tienes alguna pregunta, no dudes en contactar con nosotros!!!
Autor: Mario Sala