El WAF es un elemento de seguridad que puede ser lógico o físico y que se implementa como intermediario entre los clientes que consumen algún servicio y el servidor que brinda dicho servicio, analizando todo el trafico entre estos, buscando patrones maliciosos empleados por los atacantes, por ejemplo, en una petición GET o POST que incluya sentencias como union, select, concat, etc.
Ya que los corta fuegos tradicionales no permiten mitigar los ataques a aplicaciones o sistemas web, ha surgido la solución de corta fuegos de aplicación web que ayudan a mitigar los ataques como XSS, SQL Injection, entre otros a aplicaciones web.
Figura 1: Esquema básico de implementación WAF.
Algunas productos de estos son el ModSecurity, Microsoft Url Scan, Imperva, Data Power, etc. Aunque esta medida de seguridad es ideal contemplarla, siempre debe de realizar una auditoria constantemente a los sistemas de la organización y por supuesto una auditoria previa a lanza cualquier servicio o sistema al publico.
Saludos.
Lexer Pars.
******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************
******************************************************************************************************************************************************************************************************************************************************************************
No hay comentarios:
Publicar un comentario