Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
CONTACTO

WAF en F5: cómo funciona el cortafuegos de aplicaciones y contra qué protege

Un cortafuegos de aplicaciones web (WAF) es uno de los componentes de seguridad clave de cualquier organización con aplicaciones basadas en web accesibles desde Internet. Por desgracia, «tenemos un WAF» no siempre significa «estamos protegidos»: muchas implementaciones de WAF funcionan en modo «sólo monitor», tienen firmas obsoletas o están configuradas con tanto cuidado que dejan pasar la mayoría de los ataques. El WAF de F5 Networks es una solución que -cuando se configura correctamente- protege de verdad las aplicaciones, no sólo genera registros.

Índice

  1. ¿Qué es un WAF y en qué se diferencia de un cortafuegos de red?
  2. Cómo funciona WAF F5 – Mecanismos de inspección
  3. Protección contra los 10 ataques principales de OWASP
  4. Protección de API: ¿por qué el WAF necesita entender las API?
  5. Gestión de bots: ¿cómo distinguir un buen bot de uno malo?
  6. WAF en modo aprendizaje – configuración automática de políticas
  7. Principales conclusiones
  8. PREGUNTAS FRECUENTES
  9. Resumen

¿Qué es un WAF y en qué se diferencia de un cortafuegos de red?

Un cortafuegos de red clásico (L3/L4) controla el flujo de paquetes basándose en direcciones IP, puertos y protocolos -permitiendo o bloqueando conexiones TCP/UDP sin ver el contenido. El WAF funciona en la capa de aplicación (L7) y entiende el protocolo HTTP/HTTPS: analiza el contenido de las solicitudes y respuestas, las cabeceras HTTP, los parámetros de las URL, el cuerpo de la solicitud POST y las estructuras JSON/XML.

Esta diferencia es fundamental: un ataque de inyección SQL enviado a través del puerto 443 (HTTPS) a un cortafuegos normal parece tráfico web normal. El WAF ve el contenido de la solicitud, reconoce el patrón de inyección SQL y lo bloquea. El cortafuegos protege la red, el WAF protege la aplicación, y uno no sustituye al otro.

F5 Networks ofrece WAF como dispositivo de hardware (BIG-IP ASM), como software virtual y como servicio en la nube (F5 Distributed Cloud WAAP), lo que proporciona la flexibilidad necesaria para adaptarse a diferentes arquitecturas de despliegue.

Cómo funciona WAF F5 – Mecanismos de inspección

WAF F5 (Advanced WAF / BIG-IP ASM) utiliza varios mecanismos de inspección que se ejecutan en paralelo. La inspección de firmas compara las solicitudes con una base de datos de patrones de ataque conocidos: cientos de miles de firmas para inyección SQL, XSS, inyección de comandos, path traversal, SSRF y otras categorías. F5 Threat Intelligence actualiza periódicamente la base de datos de firmas.

El análisis del protocolo HTTP comprueba que la petición es una petición HTTP correctamente estructurada y conforme a la RFC: las anomalías del protocolo suelen indicar ataques o herramientas automatizadas. El Modelo de Seguridad Positiva define lo que está permitido (a diferencia de la seguridad negativa, que define lo que está prohibido): sólo se permite el paso a las solicitudes que cumplen el formato definido, todo lo demás se bloquea.

El análisis del comportamiento analiza el comportamiento del usuario a lo largo del tiempo: se identifican y bloquean patrones de petición específicos de herramientas automatizadas (escáneres, bots), independientemente de la firma del ataque concreto.

Protección contra los 10 ataques principales de OWASP

El OWASP Top 10 es una lista de las 10 categorías más graves de vulnerabilidades de aplicaciones web, publicada por el Open Web Application Security Project. WAF F5 está optimizado para bloquear cada una de estas categorías.

Inyección (SQL, NoSQL, LDAP, inyección de comandos OS) – WAF analiza los parámetros de las peticiones en busca de secuencias características de intentos de inyección de código. El mecanismo es resistente a las técnicas típicas de elusión (codificación, fragmentación, comentarios SQL).

Cross-Site Scripting (XSS): bloquea los intentos de inyectar código JavaScript en las solicitudes que podrían realizarse en los navegadores de otros usuarios. F5 WAF entiende el contexto: una misma palabra clave puede estar permitida en el contenido de una entrada de blog y bloqueada en el parámetro de búsqueda.

Control de acceso roto y desconfiguración de la seguridad – WAF puede aplicar políticas de acceso a nivel de URL, bloqueando el acceso a recursos a los que un usuario no debería tener acceso.

La combinación de WAF con soluciones de cortafuegos de nueva generación crea una protección multicapa desde la red hasta la aplicación.

Protección de API: ¿por qué el WAF necesita entender las API?

Las aplicaciones web modernas son en gran medida API: los frontends se comunican con el backend mediante API REST, los microservicios se comunican entre sí mediante API, las aplicaciones móviles llaman a API. Esto convierte a las API en una superficie de ataque cada vez más importante que los WAF clásicos (diseñados para aplicaciones web HTML) no manejan bien.

F5 Advanced WAF tiene seguridad API dedicada que entiende la estructura REST, JSON y GraphQL. Las políticas de seguridad de la API pueden validar la estructura del cuerpo JSON (si la solicitud contiene los campos requeridos, si los tipos de datos son válidos), aplicar límites de velocidad para puntos finales específicos de la API, proteger contra las 10 principales medidas de seguridad de la API de OWASP (BOLA/IDOR, autenticación rota, exposición excesiva de datos y más) y gestionar el acceso a la API mediante la integración de OAuth/JWT.

Gestión de bots: ¿cómo distinguir un buen bot de uno malo?

No todos los bots son malos: Googelbot, los bots de monitorización, los bots de API de socios son tráfico bienvenido. Entre los bots malos se incluyen: raspadores web que roban contenido, bots de relleno de credenciales que intentan apoderarse de cuentas mediante una lista de fugas de contraseñas, bots que hacen clic en anuncios, bots que realizan ataques DDoS a aplicaciones.

F5 Advanced WAF tiene un módulo de gestión de bots integrado que utiliza varias técnicas para identificar bots. Desafío JavaScript: la página envía un desafío JavaScript que debe ser ejecutado por el navegador. Los bots sin un motor JS no superarán el desafío. Huella digital del navegador – análisis de las propiedades del navegador (fuentes, plugins, WebGL, resolución de pantalla) comparadas con los valores esperados para el agente de usuario declarado. CAPTCHA como escalado para tráfico sospechoso. Análisis de comportamiento – patrones de clic, movimiento del ratón, tiempo entre acciones específicas de humanos frente a autómatas.

WAF en modo aprendizaje – configuración automática de políticas

Configurar un WAF desde cero es un proceso tedioso, especialmente para aplicaciones complejas con cientos de puntos finales y miles de parámetros. F5 Advanced WAF ofrece un modo de aprendizaje (creador automático de políticas) que observa el tráfico de aplicaciones durante un periodo definido y genera automáticamente políticas de seguridad basadas en los patrones observados.

En el modo de aprendizaje, el WAF no bloquea nada, sino que recopila información: qué URL están disponibles, qué parámetros acepta cada endpoint, valores típicos y tipos de datos. Tras el periodo de aprendizaje, el WAF genera una propuesta de política de seguridad positiva, que el administrador revisa y aprueba o modifica. Esto acelera enormemente la implementación y reduce el riesgo de bloquear tráfico válido.

Principales conclusiones

  • WAF funciona en la capa L7 y entiende HTTP/HTTPS, lo que le permite inspeccionar el contenido de las peticiones y bloquear los ataques a aplicaciones invisibles para el cortafuegos de la red.
  • F5 Advanced WAF combina inspección de firmas, modelo de seguridad positiva y análisis de comportamiento.
  • La protección de la API es un componente separado y dedicado, crucial para las arquitecturas de aplicaciones modernas.
  • La gestión de bots distingue el tráfico automatizado deseable del malicioso mediante retos de JavaScript, huellas dactilares y análisis de comportamiento.
  • El modo de aprendizaje crea automáticamente políticas de seguridad basadas en observaciones del tráfico real, lo que reduce el tiempo de implementación.

PREGUNTAS FRECUENTES

¿Puede el WAF F5 causar falsos positivos (bloquear el movimiento correcto)? Sí: cualquier WAF puede generar falsos positivos, sobre todo cuando se configura de forma demasiado agresiva. El modo de aprendizaje y el endurecimiento gradual de las políticas minimizan este riesgo. F5 también ofrece un modo «transparente» (supervisión sin bloqueo) para calibrar las políticas antes de que se active el bloqueo.

¿Es compatible el WAF de F5 con IPv6? Sí – F5 BIG-IP soporta IPv4/IPv6 dual-stack completo.

¿Cómo actualiza el WAF de F5 las firmas de ataque? Las firmas son actualizadas automáticamente por F5 Threat Intelligence: se añaden nuevos patrones de ataque con regularidad, a menudo a las pocas horas de ser detectados en la naturaleza.

¿Se puede desplegar WAF F5 en la nube? Sí – F5 ofrece WAF en forma de: BIG-IP Virtual Edition (VM en la nube), F5 Distributed Cloud WAAP (SaaS) e imágenes de mercado para AWS/Azure/GCP.

Resumen

El WAF F5 es una de las soluciones de protección de aplicaciones web más avanzadas del mercado: combina la inspección de firmas con un modelo de seguridad positiva, protección de API dedicada y gestión avanzada de bots. Sin embargo, una implementación adecuada de WAF no es una tarea puntual, sino un proceso continuo de calibración y actualizaciones. Ponte en contacto con Ramsdata para averiguar cómo F5 Networks puede proteger las aplicaciones web de tu organización.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

error: Content is protected !!