Descripción general de los controles de seguridad
Las protecciones avanzadas (comprobaciones de seguridad) del Web App Firewall son un conjunto de filtros diseñados para detectar ataques complejos o desconocidos en sus sitios web y servicios web protegidos. Las comprobaciones de seguridad utilizan la heurística, la seguridad positiva y otras técnicas para detectar ataques que pueden no detectarse únicamente con las firmas. Para configurar las comprobaciones de seguridad, cree y configure un perfil de Web App Firewall, que es un conjunto de opciones definidas por el usuario que indican al Web App Firewall qué comprobaciones de seguridad utilizar y cómo gestionar una solicitud o respuesta que no supere una comprobación de seguridad. Un perfil está asociado a un objeto de firmas y a una directiva para crear una configuración de seguridad.
El Web App Firewall proporciona veinte controles de seguridad, que difieren ampliamente en los tipos de ataques a los que se dirigen y en la complejidad de su configuración. Los controles de seguridad se organizan en las siguientes categorías:
- Controles de seguridad comunes. Comprobaciones que se aplican a cualquier aspecto de la seguridad web que no involucre contenido o que sea igualmente aplicable a todos los tipos de contenido.
- Comprobaciones de seguridad de HTML. Controles que examinan las solicitudes y respuestas HTML. Estas comprobaciones se aplican a los sitios web basados en HTML y a las partes HTML de los sitios Web 2.0, que contienen contenido HTML y XML mixto.
- Comprobaciones de seguridad XML. Controles que examinan las solicitudes y respuestas XML. Estas comprobaciones se aplican a los servicios web basados en XML y a las partes XML de los sitios Web 2.0.
Los controles de seguridad protegen contra una amplia gama de tipos de ataques, incluidos los ataques a las vulnerabilidades del software del sistema operativo y del servidor web, las vulnerabilidades de las bases de datos SQL, los errores en el diseño y la codificación de sitios web y servicios web y los fallos a la hora de proteger los sitios que alojan información confidencial o pueden acceder a ella.
Todas las comprobaciones de seguridad tienen un conjunto de opciones de configuración, las acciones de comprobación, que controlan la forma en que el Web App Firewall gestiona una conexión que coincide con una comprobación. Hay tres acciones de verificación disponibles para todas las comprobaciones de seguridad. Se trata de:
- Bloquear. Bloquee las conexiones que coincidan con la firma. Inhabilitado de forma predeterminada.
- Registrar. Registra las conexiones que coincidan con la firma para analizarlas posteriormente. Habilitado de forma predeterminada.
- Estadísticas. Mantenga estadísticas, para cada firma, que muestren cuántas conexiones coincidieron y proporcione otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
Una cuarta acción de verificación, Learn, está disponible para más de la mitad de las acciones de verificación. Observa el tráfico a un sitio web o servicio web protegido y utiliza conexiones que infringen repetidamente la comprobación de seguridad para generar excepciones recomendadas (flexibilizaciones) a la comprobación o nuevas reglas para la comprobación. Además de las acciones de verificación, algunas comprobaciones de seguridad tienen parámetros que controlan las reglas que la comprobación utiliza para determinar qué conexiones infringen esa comprobación o que configuran la respuesta de Web App Firewall a las conexiones que infringen la comprobación. Estos parámetros son diferentes para cada comprobación, y se describen en la documentación de cada comprobación.
Para configurar las comprobaciones de seguridad, puede utilizar el asistente Web App Firewall, tal y como se describe en el Asistente para Web App Firewall, o bien configurar las comprobaciones de seguridad manualmente, como se describe en Configuración manual mediante la GUI. Algunas tareas, como la introducción manual de relajaciones o reglas o la revisión de datos aprendidos, solo se pueden realizar mediante la GUI, no la línea de comandos. El uso del asistente suele ser el mejor método de configuración, pero en algunos casos la configuración manual puede resultar más sencilla si está completamente familiarizado con ella y simplemente desea ajustar la configuración para una única comprobación de seguridad.
Independientemente del método que utilice para configurar las comprobaciones de seguridad, cada comprobación de seguridad requiere la realización de determinadas tareas. Muchas comprobaciones requieren que especifiques excepciones (flexibilizaciones) para evitar el bloqueo del tráfico legítimo antes de habilitar el bloqueo para esa comprobación de seguridad. Puede hacerlo manualmente, observando las entradas del registro después de filtrar una determinada cantidad de tráfico y, a continuación, creando las excepciones necesarias. Sin embargo, suele ser mucho más fácil habilitar la función de aprendizaje y dejar que observe el tráfico y recomiende las excepciones necesarias.
Web App Firewall usa motores de paquetes (PE) durante el procesamiento de las transacciones. Cada motor de paquetes tiene un límite de 100 000 sesiones, que es suficiente para la mayoría de los escenarios de implementación. Sin embargo, cuando Web App Firewall procesa tráfico intenso y el tiempo de espera de la sesión está configurado en un valor más alto, es posible que las sesiones se acumulen. Si el número de sesiones activas de Web App Firewall supera el límite de 100 000 por PE, es posible que las infracciones de la comprobación de seguridad de Web App Firewall no se envíen al dispositivo Security Insight. Reducir el tiempo de espera de la sesión a un valor menor o utilizar el modo sin sesión para las comprobaciones de seguridad con cierre de URL sin sesión o coherencia de campos sin sesión puede ayudar a evitar que las sesiones se acumulen. Si esta no es una opción viable en situaciones en las que las transacciones pueden requerir sesiones más largas, se recomienda actualizar a una plataforma de gama alta con más motores de paquetes.
Se agrega compatibilidad con AppFirewall almacenado en caché, y la configuración máxima de sesión a través de la CLI por núcleo se establece en sesiones de 50K.
Comprobaciones de seguridad de solicitud y respuesta
La siguiente es la lista de controles de seguridad:
Solicitar cheques
Las siguientes son las comprobaciones de seguridad de la solicitud:
- URL de inicio
- Denegar URL
- Consistencia de cookies
- Secuestro de cookies
- Desbordamiento de mantequilla
- Límite posterior al cuerpo
- Tipo de contenido
- Deducir carga útil XML del tipo de contenido
- Tipos de carga de archivos
- Consistencia de campos de formulario
- Formato de campo
- Etiquetado de formularios CSRF
- Scripts HTML entre sitios
- Inyección HTML SQL
- Inyección de comandos
- Bloquear palabra clave: XML
- Formato XML
- Denegación de servicio XML
- Scripting entre sitios XML
- Inyección XML SQL
- Adjunto XML
- Validación de mensajes XML
- Denegación de servicio JSON
- Scripting entre sitios JSON
- Inyección JSON SQL
- inyección de comandos JSON
- Bloquear palabra clave: JSON
Comprobaciones de respuesta
Las siguientes son las comprobaciones de seguridad de respuesta:
- Tarjeta de crédito
- Objeto seguro
- Filtrado de errores XML SOAP
- Algunos aspectos de la interoperabilidad de los servicios web