Charla de seguridad: ningún firewall versátil tiene lagunas

. Los firewalls por sí solos ya no son suficientes para proteger los activos en línea. Hoy en día, los hackers y sus estrategias de ataque son cada vez más sofisticados y peligrosos. Una de las amenazas actuales son los ataques de capa de aplicación, que pueden colarse en un firewall hasta que se colarse en una aplicación web. Así es, a muchos de estos ataques les gusta usar datos de clientes valiosos como punto de partida.

Entonces, ¿por qué los firewalls normales no pueden detener tales ataques? Debido a que tales ataques pretenden ser tráfico normal, no hay paquetes particularmente grandes, y la dirección y el contenido no son sospechosamente desiguales, por lo que no se activan alertas. Uno de los ejemplos más aterradores es la inyección de SQL. En este tipo de ataque, los piratas informáticos utilizan uno de sus propios formularios HTML para consultar la base de datos sin autorización. Otra amenaza es la ejecución del comando. Mientras la aplicación web envíe el comando al shell, el pirata informático puede ejecutar el comando libremente en el servidor.

Otros ataques son más simples. Por ejemplo, los comentarios HTML a menudo contienen información confidencial, incluida la información de inicio de sesión dejada por programadores involuntarios. Por lo tanto, el ataque a la capa de la aplicación, desde manipular las cookies hasta cambiar los campos ocultos en el formulario HTML, depende completamente de la imaginación del pirata informático. La buena noticia, sin embargo, es que la mayoría de estos ataques se pueden prevenir por completo.

Si se combinan, dos soluciones complementarias proporcionan una línea de defensa sólida. Primero, use el escáner de aplicaciones para escanear a fondo su aplicación web en busca de vulnerabilidades. Luego, use el firewall de la aplicación web para bloquear la intrusión de delincuentes.

El escáner de la aplicación básicamente lanza una serie de ataques simulados en su servidor e informa los resultados. KaVaDo ScanDo, Sanctum AppScan Audit y SPI Dynamics son bastante completos en cuanto a detalles de defectos y recomendaciones de soluciones. AppScan Audit es especialmente notable porque tiene capacidades de comprobación post mortem que ayudan a los programadores a detectar vulnerabilidades a medida que codifican. Sin embargo, ninguno de estos kits es comparable a una revisión exhaustiva realizada por profesionales de la seguridad.

Una vez que logre bloquear la vulnerabilidad, el siguiente paso es implementar un servidor de seguridad de aplicación web. La forma en que funciona este tipo de firewall es muy interesante: descubra cómo se ve el tráfico normal que entra y sale de la aplicación, y luego detecte el tráfico anormal. Para hacer esto, el servidor de seguridad de la aplicación web debe revisar los paquetes más profundos que el servidor de seguridad normal. Check Point es mejor conocido a este respecto, pero otros proveedores como KaVaDo, NetContinuum, Sanctum y Teros son relativamente pequeños. Algunos de estos firewalls usan software, otros usan hardware, y algunos tienen ambos. Pero no se deje engañar y pensar que este tipo de firewall es plug and play, incluso si usa hardware. Al igual que con los sistemas de detección de intrusos, también debe ajustar cuidadosamente el firewall de la aplicación web para reducir los falsos positivos y evitar que los ataques se introduzcan en él.

Debido al spam y los ataques cada vez más rampantes, si piensa que instalar un firewall está bien y puede estar tranquilo, debería pensar en cómo debería manejarlo.