WAF Web Application Firewall

WAF ofrece una capa adicional altamente escalable de proteccin contra ataques a las
aplicaciones web, emitiendo alertas y bloquendo los ataques antes de alcanzar los
servidores de origen, filtrando todo el trfico HTTP y HTTPS de entrada, por medio de
controles configurables en las capas de red y aplicacin.
Potencia mxima en el negocio online.
WAF ofrece una capa adicional altamente escalable de proteccin contra ataques a las
aplicaciones web, emitiendo alertas y bloquendo los ataques antes de alcanzar los
servidores de origen, filtrando todo el trfico HTTP y HTTPS de entrada, por medio de
controles configurables en las capas de red y aplicacin.
Los parmetros de seguridad de WAF se basan en el ModSecurity, un conjunto
extremadamente confiable de reglas que detecta y previene tcnicas de exploracin
comunes como SQL Injection y Cross Site Scripting XSS.
La solucin permite definir reglas, alertas y acciones de WAF, como as tambin whitelist y
blacklist de IPs.
Exceda en los beneficios para sus negocios con WAF.
- Aumenta la confiabilidad, integridad y disponibilidad del website.
- Reduce el trfico de ataques y costos relacionados, como banda, infraestructura y recursos
operativos, entre otros.
- Optimiza gastos en la seguridad de hardware y software
- Mitiga los riesgos de sub-dimensionamiento de firewalls de aplicacin Web
- Cumple con las iniciativas/estndares PCI, ISO, FISMA, BITS, HIPAA
WAF utilizado conjuntamente con los dems servicios ofrecidos por Exceda, aumenta la
seguridad y acelera la distribucin de contenido en Internet.
La solucin WAF ofrece mayor proteccin en Internet.
- Escalonamiento automtico bajo demanda para absorber ataques DDoS slidos
- Reduce ataques a la infraestructura de origen aliviando la carga de la arquitectura de
seguridad ya existente
- Suministra reportes con la visualizacin de las ocurrencias de ataques y alarmas
- Administracin total de las reglas y bloqueo rpido por localizacin geogrfica por parte
del cliente
- Permite la creacin de reglas para bloqueo de acceso en funcin del volumen de
requisiciones provenientes de una nica direccin IP en un perodo predefinido
- Incluye ms de 70 modelos de reglas ya establecidas, y acepta la creacin de otras reglas
importantes para su negocio
La seguridad que elimina costos y genera ms rentabilidad.
El ambiente de la infraestructura Web es altamente competitivo y vulnerable. Las
arquitecturas de implementacin son complejas, exigiendo la integracin de muchas
tecnologas heterogneas. Los ciclos de desarrollo son muy rpidos y las continuas
actualizaciones de las aplicaciones agravan an ms el problema, creando un ambiente
susceptible a los innumerables ataques.
El riesgo para los negocios es muy grande, ya que pone en peligro a las operaciones
comerciales y los datos confidenciales crticos.
Prdidas de cualquier magnitud dan como resultado la interrupcin de los negocios, robos
de propiedad intelectual y falta de confiabilidad por parte de sus clientes. Tambin existen
casos en que la seguridad de las aplicaciones es un requisito legal, como el PCI DSS,
modelo de seguridad para proteccin de datos de tarjetas de crdito.
WAF - Web Application Firewall - proporciona la seguridad y proteccin necesarias para
que su empresa desarrolle negocios con agilidad, inteligencia y absoluta tranquilidad.









Firewall virtual
De Wikipedia, la enciclopedia libre
Un servidor de seguridad virtual (VF) es un servidor de seguridad de red de servicio o
dispositivo en ejecucin en su totalidad dentro de un entorno virtualizado y se permite con
la costumbre de filtrado de paquetes y de vigilancia entregados a travs de un firewall de la
red fsica. El VF se puede realizar como un cortafuegos de software tradicional en un
invitado de la mquina virtual ya est en ejecucin, un propsito construido aparato de
seguridad virtual diseado con la seguridad de red virtual en mente, un conmutador virtual
con capacidades de seguridad adicionales, o un proceso kernel administrado que se ejecuta
en el host hipervisor .
Contenido
1 Antecedentes
o 1.1 firewalls virtuales
2 Funcionamiento
3 Lectura adicional
4 Referencias
5 Vase tambin
Antecedentes
En tanto que una red de ordenadores se ejecuta por completo sobre el hardware fsico y el
cableado, es una red fsica. Como tal, puede estar protegida por firewalls fsicos y paredes
de fuego por igual, la primera y ms importante la proteccin de una red informtica fsica
siempre fue y sigue siendo un fsico, cerrado, puerta resistente al fuego.
[1]

[2]
Desde el
inicio de la Internet este fue el caso, y las paredes de fuego estructurales y firewalls de red
fuera por un largo tiempo a la vez necesaria y suficiente.
Desde alrededor de 1998 ha habido un aumento explosivo en el uso de mquinas virtuales
(VM), adems de - a veces en lugar de - mquinas fsicas para ofrecer muchas clases de
servicios informticos y de comunicaciones en redes de rea local y en Internet en general.
Las ventajas de las mquinas virtuales estn bien exploradas en otros lugares.
[3]

[4]

Las mquinas virtuales pueden funcionar de manera aislada (por ejemplo, como un sistema
operativo invitado en un ordenador personal) o en un entorno virtualizado unificado
supervisado por un supervisor monitor de mquina virtual o " hypervisor proceso ". En el
caso de que muchas mquinas virtuales operan bajo el mismo entorno virtualizado que
pueden estar conectados entre s a travs de una red virtual que consiste en conmutadores
de red virtualizados entre las mquinas y las interfaces de red virtualizados dentro de las
mquinas. La resultante de red virtual puede entonces poner en prctica protocolos de red
tradicionales (por ejemplo, TCP ) o de aprovisionamiento de red virtual, como VLAN o
VPN , aunque este ltimo si bien son tiles por sus propias razones no son en absoluto
necesario.
Hay una percepcin continua que las mquinas virtuales son intrnsecamente seguras
porque se les ve como "un recinto de seguridad" en el sistema operativo host.
[5]

[6]

[7]
A
menudo se cree que el anfitrin, de igual manera, se asegura contra la explotacin desde la
propia mquina virtual
[7]
y que el host no es una amenaza a la mquina virtual, ya que es
un activo fsico protegido por. fsica y seguridad de la red tradicional
[6]
Incluso cuando esto
no se asume de manera explcita, las primeras pruebas de las infraestructuras virtuales a
menudo procede en entornos de laboratorio aisladas donde la seguridad no es, por regla
general una preocupacin inmediata, o de seguridad slo pueden pasar a primer plano
cuando la misma solucin se est moviendo en la produccin o en una nube informtica ,
donde las mquinas virtuales de repente de diferentes niveles de confianza pueden terminar
en la misma red virtual que se ejecuta a travs de cualquier nmero de hosts fsicos.
Debido a que son verdaderas redes, redes virtuales pueden terminan sufriendo el mismo
tipo de vulnerabilidades siempre asociados a una red fsica, algunas de las cuales el ser:
Los usuarios de mquinas dentro de la red virtual tienen acceso a todas las otras mquinas
en la misma red virtual.
Comprometer o apropiarse indebidamente de una mquina virtual en una red virtual es
suficiente para proporcionar una plataforma para los ataques adicionales contra otros
equipos en el mismo segmento de red.
Si una red virtual est interconectados a la red fsica o de Internet en general y luego las
mquinas en la red virtual pueden tener acceso a recursos externos (y hazaas externas)
que podra dejarlos abiertos a la explotacin.
El trfico de red que pasa directamente entre mquinas sin pasar a travs de los
dispositivos de seguridad es controlado a l.
Los problemas creados por la invisibilidad cerca de trfico entre-mquina virtual (VM-a-
VM) en una red virtual son exactamente como los que se encuentran en las redes fsicas,
complicado por el hecho de que los paquetes pueden estar movindose por completo en el
interior del hardware de un solo host fsico:
Debido a que el trfico de red virtual nunca podr abandonar el hardware del host fsico,
los administradores de seguridad no pueden observar el trfico VM-a-VM, no pueden
interceptar, y as no pueden saber lo que el trfico es para.
El registro de la actividad de red VM-a-VM en un solo host y verificacin de acceso a la
mquina virtual para propsitos de cumplimiento normativo se hace difcil.
Usos inapropiados de los recursos de red virtuales y el consumo de ancho de banda VM-a-
VM son difciles de descubrir o rectificar.
Servicios inusuales o inadecuados que se ejecutan en o dentro de la red virtual podr
pasar desapercibida.
Hay problemas de seguridad conocidos slo en los entornos virtualizados que causan
estragos con las medidas y prcticas de seguridad fsica, y algunos de ellos se promocionan
como ventajas reales de la tecnologa de mquina virtual sobre mquinas fsicas:
[8]

VM puede ser deliberadamente (o de forma inesperada) emigraron entre los entornos
virtualizados confiables y no confiables los que est habilitada la migracin.
Mquinas virtuales y / o volmenes de almacenamiento virtuales se pueden clonar
fcilmente y el clon hacen para funcionar en cualquier parte del entorno virtualizado,
incluyendo una zona de distensin .
Muchas empresas utilizan sus compras o los departamentos de TI como la agencia lder de
seguridad de TI, la aplicacin de las medidas de seguridad en el momento de una mquina
fsica se ha tomado de la caja y se inicializa. Puesto que las mquinas virtuales se pueden
crear en pocos minutos por cualquier usuario autorizado y establecer correr sin un rastro
de papel, pueden, en estos casos sirven como un puente establecida "primero de
arranque" prcticas de seguridad de TI.
Mquinas virtuales no tienen realidad fsica no dejar rastro de su creacin, ni (en
instalaciones virtualizados ms grandes) de su existencia continuada. Ellos pueden ser
fcilmente destruidos tambin, dejando casi sin firma digital y absolutamente ninguna
evidencia fsica alguna.
Adems de los problemas de visibilidad del trfico de red y la expansin descoordinada
VM, VM un rogue usando slo la red virtual, los interruptores y las interfaces (todos los
cuales se ejecute en un proceso en el hardware fsico del host) potencialmente puede
romper la red que podra cualquier mquina fsica en una red fsica - y de la forma habitual
- aunque ahora consumiendo ciclos de CPU de acogida puede, adems, hacer caer todo el
entorno virtualizado y el resto de mquinas virtuales con l simplemente por dominar los
recursos fsicos de acogida el resto del entorno virtualizado dependen.
Esta fue probablemente convertido en un problema, pero se perciba dentro de la industria
como un problema bien entendido y uno potencialmente abierto a las medidas y las
respuestas tradicionales.
[9]

[10]

[11]

[12]

Firewalls virtuales
Uno de los mtodos para asegurar, registrar y monitorear el trfico de VM-a-VM
involucrado encaminar el trfico de red virtualizada de la red virtual y en la red fsica a
travs de VLANs, y por lo tanto en un servidor de seguridad fsica ya existente para
proporcionar servicios de seguridad y cumplimiento de la fsica red. El trfico VLAN
podra ser monitoreado y se filtra por el firewall fsico y pasa de nuevo a la red virtual (si se
considera legtima para tal fin) y en la mquina virtual de destino.
No es sorprendente que los administradores de LAN, los expertos en seguridad y los
proveedores de seguridad de la red comenzaron a preguntarse si no sera ms eficiente para
mantener el trfico por completo dentro del entorno virtualizado y seguro que a partir de
ah.
[13]

[14]

[15]

[16]

Un firewall virtual es, pues, un servicio de servidor de seguridad o dispositivo en ejecucin
en su totalidad dentro de un entorno virtualizado - incluso cuando otra mquina virtual,
pero con la misma facilidad en el hipervisor en s - que proporciona el filtrado de paquetes
y el seguimiento habitual que un firewall fsico proporciona. El VF se puede instalar como
un servidor de seguridad de software tradicional en un invitado VM ya se est ejecutando
en el entorno virtualizado, o puede ser un propsito construido aparato de seguridad virtual
diseado con la seguridad de red virtual en la mente, o puede ser un conmutador virtual con
seguridad adicional capacidades, o puede ser un proceso kernel administrado que se ejecuta
dentro del hipervisor host que se sienta encima de toda la actividad de la VM.
La direccin de la corriente en la tecnologa de firewall virtual es una combinacin de
switches virtuales de seguridad con capacidad,
[17]
y aparatos de seguridad virtual. Algunos
firewalls virtuales integran funciones de red adicionales, como de sitio a sitio y acceso
remoto VPN, QoS, filtrado de URL y mucho ms.
[18]

[19]

[20]

Operacin
Cortafuegos virtuales pueden operar en diferentes modos para proporcionar servicios de
seguridad, en funcin del punto de despliegue. Normalmente estos son ya sea puente o
modo hypervisor (basada en hipervisor, hipervisor residente). Ambos pueden venir
encogimiento envuelto como un dispositivo de seguridad virtual y puede instalar una
mquina virtual con fines de gestin.
Un firewall virtual que opera en modo puente acta como su anlogo firewall fsico-
mundo, que se encuentra en una zona estratgica de la infraestructura de la red - por lo
general en un switch virtual entre redes o puente - y el trfico de red intercepta destinado a
otros segmentos de la red y que necesitan viajar por el puente. Mediante el examen de la
procedencia de origen, el destino, el tipo de paquete que es y aun la carga til de la VF
puede decidir si el paquete es que se le permita el paso, dej caer, rechazado, o se reenva o
refleja a algn otro dispositivo. Participantes iniciales sobre el campo firewall virtual
fueron en gran parte del puente-mode, y muchas ofertas conservan esta caracterstica.
Por el contrario, un firewall virtual que opera en modo hypervisor no es en realidad parte
de la red virtual en absoluto, y como tal no tiene anlogo dispositivo fsico del mundo. Un
firewall virtual en modo hypervisor reside en el monitor de mquina virtual o hipervisor en
el que se encuentra bien posicionada para capturar la actividad VM incluyendo inyecciones
de paquetes. La totalidad monitoreado VM y todo su hardware virtual, el software, los
servicios, la memoria y el almacenamiento puede ser examinado, igual que los cambios en
estos. Adems, puesto que un firewall virtual basada en hipervisor no es parte de la red
adecuada y no es una mquina virtual de su funcionalidad no se puede controlar a su vez o
alterado por los usuarios y el software se limitan a correr bajo una mquina virtual o tener
acceso slo a la red virtualizada.
Firewalls virtuales en modo de puente se pueden instalar al igual que cualquier otra
mquina virtual en la infraestructura virtualizada. Desde entonces es una mquina virtual en
s, la relacin de la VF a todos los dems VM puede llegar a ser complicado con el tiempo
debido a las VM desapareciendo y apareciendo de forma aleatoria, la migracin entre
distintos hosts fsicos, u otros cambios no coordinadas permitidos por la infraestructura
virtualizada.
Firewalls virtuales en modo Hypervisor requieren una modificacin en el kernel hipervisor
host fsico para instalar ganchos de proceso o mdulos que permiten el acceso virtual
sistema de cortafuegos a la informacin VM y acceso directo a los conmutadores de red
virtuales e interfaces de red virtuales mviles trfico de paquetes entre mquinas virtuales o
entre VM y la puerta de entrada de la red. El firewall virtual en hipervisor residente puede
usar los mismos ganchos para luego realizar todas las funciones de servidor de seguridad
habituales, como la inspeccin de paquetes, cayendo, y expedicin, pero sin tocar la red
virtual en cualquier punto. Firewalls virtuales en modo Hypervisor puede ser mucho ms
rpido que la misma tecnologa que se ejecuta en modo de puente, ya que no estn haciendo
la inspeccin de paquetes en una mquina virtual, pero en lugar de dentro del ncleo a
velocidades de hardware nativo.
Lectura complementaria
"Zeus Bot Aparece en EC2 Nube, detectado, descart" Babcock, Charles. InformationWeek
diciembre 2009
"40.000 Firewalls! Ayuda por favor!?" Texiwill. La prctica de virtualizacin. 09 2009
"OPININ / Por qu necesitamos la seguridad virtual?" Ben-Efraim, Amir. Government
Security News. 08 2009
"Guarde sus redes virtuales Safe" Revista Infinitos. 07 2009
"El punto ciego virtual" Schultz, Beth. NetworkWorld. 07 2010
"Nube de seguridad en el mundo real: 4 ejemplos" Brandel, Mary. CSO: Seguridad y
Riesgos. 06 2010
"Asegurar entornos mixtos - no todo el mundo va a ser virtualizado" Ogren, Eric
ComputerWorld.. 06 2010
"Las nuevas herramientas de seguridad protegen a las mquinas virtuales" Strom, David.
Red Mundial 03 201










Sistema de prevencin de intrusos

Este artculo o seccin necesita referencias que aparezcan en una publicacin acreditada,
como revistas especializadas, monografas, prensa diaria o pginas de Internet fidedignas.
Este aviso fue puesto el 27 de agosto de 2012.
Puedes aadirlas o avisar al autor principal del artculo en su pgina de discusin pegando:
{{subst:Aviso referencias|Sistema de prevencin de intrusos}} ~~~~
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un software que
ejerce el control de acceso en una red informtica para proteger a los sistemas
computacionales de ataques y abusos. La tecnologa de prevencin de intrusos es
considerada por algunos como una extensin de los sistemas de deteccin de intrusos
(IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas
cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al situar
sistemas de detecciones en la va del trfico. Los IPS presentan una mejora importante
sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso
basados en los contenidos del trfico, en lugar de direcciones IP o puertos. Tiempo despus,
algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente
adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en
2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continan en
relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
ndice
1 Funcionamiento
o 1.1 Deteccin basada en firmas
o 1.2 Deteccin basada en polticas
o 1.3 Deteccin basada en anomalas
o 1.4 Deteccin honey pot (jarra de miel)
2 Vase tambin
3 Enlaces externos
Funcionamiento
Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de Intrusos,
funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al
administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor),
mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para
proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo
proactivamente y un IDS lo protege reactivamente.
Los IPS se categorizan en la forma que detectan el trfico malicioso:
Deteccin basada en firmas: como lo hace un antivirus.
Deteccin basada en polticas: el IPS requiere que se declaren muy especficamente las
polticas de seguridad.
Deteccin basada en anomalas: en funcin con el patrn de comportamiento normal de
trfico.
Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura para que
llame la atencin de los hackers.
Deteccin basada en firmas
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto
contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web
generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto
patrn de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este
tipo de deteccin funciona parecido a un antivirus, el administrador debe verificar que las
firmas estn constantemente actualizadas.
Deteccin basada en polticas
En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las polticas
de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin con
determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta.
Deteccin basada en anomalas
Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es sumamente
difcil determinar y medir una condicin normal. En este tipo de deteccin tenemos dos
opciones:
1. Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un
determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico
vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma.
2. Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el administrador
quien define el patrn normal de trfico. Sin embargo, debido a que con este enfoque
no se realiza un anlisis dinmico y real del uso de la red, es susceptible a generar muchos
falsos positivos.
Deteccin honey pot (jarra de miel)
Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir
como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar
acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede
monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa forma
implementar polticas de seguridad acordes en nuestros sistemas de uso real.