Descripción general de las comprobaciones de seguridad
Las protecciones avanzadas de Web App Firewall (comprobaciones de seguridad) son un conjunto de filtros diseñados para detectar ataques complejos o desconocidos en sus sitios web y servicios web protegidos. Las comprobaciones de seguridad utilizan heurística, seguridad positiva y otras técnicas para detectar ataques que pueden no ser detectados por firmas solas. Las comprobaciones de seguridad se configuran mediante la creación y configuración de un perfil de Web App Firewall, que es una colección de opciones definidas por el usuario que indican al Web App Firewall qué comprobaciones de seguridad se deben utilizar y cómo manejar una solicitud o respuesta que falla una comprobación de seguridad. Un perfil está asociado a un objeto de firmas y a una directiva para crear una configuración de seguridad.
El Web App Firewall proporciona veinte comprobaciones de seguridad, que difieren ampliamente en los tipos de ataques a los que se dirigen y la complejidad de configurar. Las comprobaciones de seguridad se organizan en las siguientes categorías:
- Controles de seguridad comunes. Controles que se aplican a cualquier aspecto de la seguridad web que no involucre contenido o sea igualmente aplicable a todos los tipos de contenido.
- Comprobaciones de seguridad HTML. Comprueba que examinan las solicitudes y respuestas HTML. Estas comprobaciones se aplican a sitios web basados en HTML y a las partes HTML de los sitios web 2.0, que contienen contenido HTML y XML mixto.
- Comprobaciones de seguridad XML. Comprueba que examinan las solicitudes y respuestas XML. Estas comprobaciones se aplican a los servicios web basados en XML y a las partes XML de los sitios web 2.0.
Las comprobaciones de seguridad protegen contra una amplia gama de tipos de ataques, incluidos ataques a vulnerabilidades de software del sistema operativo y del servidor web, vulnerabilidades de bases de datos SQL, errores en el diseño y codificación de sitios web y servicios web, y fallas en la protección de sitios web que alojan o pueden acceder a información confidencial.
Todas las comprobaciones de seguridad tienen un conjunto de opciones de configuración, las acciones de comprobación, que controlan cómo el Web App Firewall gestiona una conexión que coincide con una comprobación. Hay tres acciones de comprobación disponibles para todas las comprobaciones de seguridad. Se trata de:
- Bloque. Bloquear conexiones que coincidan con la firma. Inhabilitado de forma predeterminada.
- Registrar. Registre las conexiones que coincidan con la firma, para su análisis posterior. Habilitado de forma predeterminada.
- Estadísticas. Mantener estadísticas, para cada firma, que muestran cuántas conexiones coincidieron y proporcionar cierta otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
Una cuarta acción de comprobación, Aprender, está disponible para más de la mitad de las acciones de comprobación. Observa el tráfico hacia un sitio web protegido o servicio web y utiliza conexiones que violan repetidamente la comprobación de seguridad para generar excepciones recomendadas (relajaciones) a la comprobación, o nuevas reglas para la comprobación. Además de las acciones de comprobación, ciertas comprobaciones de seguridad tienen parámetros que controlan las reglas que utiliza la comprobación para determinar qué conexiones violan esa comprobación o que configuran la respuesta del Web App Firewall a las conexiones que infringen la comprobación. Estos parámetros son diferentes para cada comprobación, y se describen en la documentación de cada comprobación.
Para configurar las comprobaciones de seguridad, puede utilizar el asistente Web App Firewall, tal y como se describe en el Asistente para Web App Firewall, o bien configurar las comprobaciones de seguridad manualmente, como se describe en Configuración manual mediante la GUI. Algunas tareas, como la introducción manual de relajaciones o reglas o la revisión de datos aprendidos, solo se pueden realizar mediante la GUI, no la línea de comandos. El uso del asistente suele ser el mejor método de configuración, pero en algunos casos la configuración manual puede ser más fácil si está completamente familiarizado con él y simplemente quiere ajustar la configuración para una única comprobación de seguridad.
Independientemente del método que utilice para configurar las comprobaciones de seguridad, cada comprobación de seguridad requiere que se realicen determinadas tareas. Muchas comprobaciones requieren que especifique excepciones (relajación) para evitar el bloqueo del tráfico legítimo antes de habilitar el bloqueo para esa comprobación de seguridad. Puede hacerlo manualmente, observando las entradas de registro después de que se haya filtrado una cierta cantidad de tráfico y, a continuación, creando las excepciones necesarias. Sin embargo, generalmente es mucho más fácil habilitar la función de aprendizaje y dejar que observe el tráfico y recomendar las excepciones necesarias.
Web App Firewall utiliza motores de paquetes (PE) durante el procesamiento de las transacciones. Cada motor de paquetes tiene un límite de 100K sesiones que es suficiente para la mayoría de los casos de implementación. Sin embargo, cuando Web App Firewall está procesando tráfico pesado y el tiempo de espera de la sesión se configura en un valor más alto, es posible que las sesiones se acumulen. Si el número de sesiones activas de Web App Firewall supera el límite de 100 000 por PE, es posible que las infracciones de comprobación de seguridad de Web App Firewall no se envíen al dispositivo Security Insight. Reducir el tiempo de espera de la sesión a un valor menor o utilizar el modo sin sesión para las comprobaciones de seguridad con cierre de URL sin sesión o coherencia de campo sin sesión puede ayudar a evitar que las sesiones se acumulen. Si esta opción no es viable en casos en los que las transacciones pueden requerir sesiones más largas, se recomienda actualizar a una plataforma de gama superior con más motor de paquetes.
Se agrega compatibilidad con AppFirewall almacenado en caché, y la configuración máxima de sesión a través de la CLI por núcleo se establece en sesiones de 50K.