Ramsdata

logo.png

WAF no F5 – como funciona a firewall de aplicação e contra o que protege

Uma Web Application Firewall (WAF) é um dos principais componentes de segurança de qualquer organização com aplicações baseadas na Web acessíveis a partir da Internet. Infelizmente, “temos um WAF” nem sempre significa “estamos protegidos” – muitas implementações de WAF operam no modo “apenas monitor”, têm assinaturas desactualizadas ou são configuradas com tanto cuidado que deixam passar a maioria dos ataques. O WAF da F5 Networks é uma solução que – quando configurada corretamente – protege verdadeiramente as aplicações, não se limitando a gerar registos.

Índice

  1. O que é um WAF e qual é a sua diferença em relação a uma firewall de rede?
  2. Como funciona o WAF F5 – Mecanismos de inspeção
  3. Proteção contra os 10 principais ataques OWASP
  4. Proteção da API – porque é que o WAF precisa de compreender as APIs?
  5. Gestão de bots – como distinguir um bom bot de um mau?
  6. WAF em modo de aprendizagem – configuração automática de políticas
  7. Principais conclusões
  8. FAQ
  9. Resumo

O que é um WAF e qual é a sua diferença em relação a uma firewall de rede?

Uma firewall de rede clássica (L3/L4) controla o fluxo de pacotes com base em endereços IP, portas e protocolos – permitindo ou bloqueando ligações TCP/UDP sem ver o conteúdo. O WAF opera na camada de aplicação (L7) e compreende o protocolo HTTP/HTTPS – analisa o conteúdo dos pedidos e respostas, cabeçalhos HTTP, parâmetros URL, corpo do pedido POST e estruturas JSON/XML.

Esta diferença é fundamental: um ataque de injeção de SQL enviado através da porta 443 (HTTPS) para uma firewall normal parece um tráfego Web normal. O WAF vê o conteúdo do pedido, reconhece o padrão de injeção de SQL e bloqueia-o. A firewall protege a rede, o WAF protege a aplicação – e um não substitui o outro.

A F5 Networks oferece o WAF como um dispositivo de hardware (BIG-IP ASM), software virtual e um serviço de nuvem (F5 Distributed Cloud WAAP) – dando a flexibilidade para se adaptar a diferentes arquitecturas de implementação.

Como funciona o WAF F5 – Mecanismos de inspeção

O WAF F5 (Advanced WAF / BIG-IP ASM) utiliza vários mecanismos de inspeção que funcionam em paralelo. A inspeção de assinaturas compara os pedidos com uma base de dados de padrões de ataque conhecidos – centenas de milhares de assinaturas para injeção de SQL, XSS, injeção de comandos, passagem de caminhos, SSRF e outras categorias. A base de dados de assinaturas é actualizada regularmente pela F5 Threat Intelligence.

A análise do protocolo HTTP verifica se o pedido é um pedido HTTP em conformidade com os RFC corretamente estruturado – as anomalias do protocolo indicam frequentemente ataques ou ferramentas automatizadas. O Modelo de Segurança Positiva define o que é permitido (por oposição à segurança negativa, que define o que é proibido) – apenas os pedidos que cumprem o formato definido são permitidos, tudo o resto é bloqueado.

A análise comportamental analisa o comportamento do utilizador ao longo do tempo – os padrões de pedidos específicos de ferramentas automatizadas (scanners, bots) são identificados e bloqueados, independentemente da assinatura do ataque específico.

Proteção contra os 10 principais ataques OWASP

O OWASP Top 10 é uma lista das 10 categorias mais graves de vulnerabilidades de aplicações Web, publicada pelo Open Web Application Security Project. O WAF F5 está optimizado para bloquear cada uma destas categorias.

Injeção (SQL, NoSQL, LDAP, injeção de comandos do SO) – O WAF analisa os parâmetros do pedido em busca de sequências caraterísticas de tentativas de injeção de código. O mecanismo é resistente às técnicas típicas de bypass (codificação, fragmentação, comentários SQL).

Cross-Site Scripting (XSS) – bloqueia tentativas de injeção de código JavaScript em pedidos que possam ser feitos em browsers de outros utilizadores. O F5 WAF compreende o contexto – a mesma palavra-chave pode ser permitida no conteúdo de um post de blogue e bloqueada no parâmetro de pesquisa.

Controlo de acesso quebrado e má configuração da segurança – O WAF pode aplicar políticas de acesso ao nível do URL, bloqueando o acesso a recursos aos quais um utilizador não deveria ter acesso.

A combinação do WAF com soluções de firewall da próxima geração cria uma proteção multicamada da rede para a aplicação.

Proteção da API – porque é que o WAF precisa de compreender as APIs?

As aplicações Web modernas são em grande parte APIs – os frontends comunicam com o backend através de APIs REST, os microsserviços comunicam entre si através de APIs, as aplicações móveis chamam APIs. Isto faz com que as APIs sejam uma superfície de ataque cada vez mais importante que os WAFs clássicos (concebidos para aplicações Web HTML) não tratam bem.

O F5 Advanced WAF tem segurança de API dedicada que entende a estrutura REST, JSON e GraphQL. As políticas de segurança da API podem validar a estrutura do corpo JSON (se o pedido contém os campos necessários, se os tipos de dados são válidos), impor limites de taxa para pontos finais específicos da API, proteger contra o OWASP API Security Top 10 (BOLA/IDOR, autenticação quebrada, exposição excessiva de dados e mais) e gerir o acesso à API através da integração OAuth/JWT.

Gestão de bots – como distinguir um bom bot de um mau?

Nem todos os bots são maus – o Googelbot, os bots de monitorização e os bots de APIs de parceiros são todos tráfego bem-vindo. Os bots maus incluem: scrapers da Web que roubam conteúdos, bots de preenchimento de credenciais que tentam assumir o controlo de contas através de uma lista de fugas de palavras-passe, bots que clicam em anúncios, bots que executam ataques DDoS a aplicações.

O F5 Advanced WAF tem um módulo de gestão de bots incorporado que utiliza várias técnicas para identificar bots. Desafio JavaScript – a página envia um desafio JavaScript que deve ser executado pelo navegador. Os bots sem um motor JS não passarão o desafio. Impressão digital do browser – análise das propriedades do browser (tipos de letra, plugins, WebGL, resolução do ecrã) em comparação com os valores esperados para o agente de utilizador declarado. CAPTCHA como escalonamento para tráfego suspeito. Análise comportamental – padrões de cliques, movimento do rato, tempo entre acções específicas de humanos vs. autómatos.

WAF em modo de aprendizagem – configuração automática de políticas

Configurar um WAF a partir do zero é um processo tedioso – especialmente para aplicações complexas com centenas de endpoints e milhares de parâmetros. O F5 Advanced WAF oferece um modo de aprendizagem (construtor automático de políticas) que observa o tráfego de aplicações durante um período definido e gera automaticamente políticas de segurança com base nos padrões observados.

No modo de aprendizagem, o WAF não bloqueia nada, mas recolhe informações: que URLs estão disponíveis, que parâmetros cada ponto final aceita, valores típicos e tipos de dados. Após o período de aprendizagem, o WAF gera uma proposta de política de segurança positiva, que o administrador analisa e aprova ou modifica. Isto acelera muito a implementação e reduz o risco de bloquear tráfego válido.

Principais conclusões

  • O WAF funciona na camada L7 e compreende HTTP/HTTPS, o que lhe permite inspecionar o conteúdo dos pedidos e bloquear ataques a aplicações invisíveis para a firewall da rede.
  • O F5 Advanced WAF combina inspeção de assinaturas, modelo de segurança positivo e análise comportamental.
  • A proteção da API é um componente separado e dedicado – crucial para as arquitecturas de aplicações modernas.
  • A gestão de bots diferencia o tráfego automatizado desejável do tráfego malicioso através de desafios de JavaScript, impressão digital e análise comportamental.
  • O modo de aprendizagem cria automaticamente políticas de segurança com base em observações do tráfego real, reduzindo o tempo de implementação.

FAQ

O WAF F5 pode causar falsos positivos (bloqueando o movimento correto)? Sim – qualquer WAF pode gerar falsos positivos, especialmente quando configurado de forma demasiado agressiva. O modo de aprendizagem e o reforço gradual das políticas minimizam este risco. A F5 também oferece um modo “transparente” (monitorização sem bloqueio) para calibrar as políticas antes de o bloqueio ser acionado.

O F5 WAF suporta IPv6? Sim – o F5 BIG-IP suporta IPv4/IPv6 dual-stack completo.

Como é que o F5 WAF actualiza as assinaturas de ataque? As assinaturas são actualizadas automaticamente pela F5 Threat Intelligence – novos padrões de ataque são adicionados regularmente, muitas vezes horas depois de serem detectados na natureza.

O WAF F5 pode ser implementado na nuvem? Sim – a F5 oferece WAF na forma de: BIG-IP Virtual Edition (VM na nuvem), F5 Distributed Cloud WAAP (SaaS) e imagens de mercado para AWS/Azure/GCP.

Resumo

O WAF F5 é uma das soluções de proteção de aplicações Web mais avançadas do mercado – combinando a inspeção de assinaturas com um modelo de segurança positivo, proteção de API dedicada e gestão avançada de bots. No entanto, uma implementação adequada do WAF não é uma tarefa única, mas sim um processo contínuo de calibração e actualizações. Contacta a Ramsdata para saberes como a F5 Networks pode proteger as aplicações Web da tua organização.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!