WAF, ¿y cuál elijo?

Un firewall de aplicaciones web (WAF) es un appliance, un plugin de servidor, o un filtro que aplica un conjunto de reglas a una conversación HTTP.

Mediante la personalización de estas reglas se pueden identificar y bloquear muchos ataques comunes contra una aplicación web. Eso sí, el esfuerzo para realizar esta personalización puede ser importante y debe mantenerse según se modifica el sitio a proteger.

Los criterios más importantes para seleccionar el WAF más adecuado son:

• Gran protección contra los ataques más extendidos
• Muy pocos falsos positivos (es decir, NUNCA se debe rechazar una petición lícita)
• Buena configuración de defensa por defecto
• Potencia y facilidad de modo de aprendizaje
• Variedad de tipos de vulnerabilidades que puede evitar
• Detecta la divulgación y el contenido no autorizado en los mensajes de respuesta de salida, tales como tarjetas de crédito y números de la seguridad Social
• Soporte a modelos de seguridad, tanto positiva como negativa
• Interfaz de usuario intuitivo y sencillo
• Compatibilidad en modo de clúster
• Alto rendimiento (latencia en milisegundos)
• Completas capacidades de alerta, forenses, e informes
• Web Services \ Compatibilidad con XML
• Brute Force protección
• Capacidad activa (bloquear y loggear), pasiva (sólo loggear) y de bypass para el tráfico web
• Capacidad para mantener en detalle los datos de las sesiones de los usuarios
• Capacidad de ser configurado para prevenir cualquier problema específico (por ejemplo, con parches de emergencia)
• Factor de forma: El software vs. hardware (generalmente el hardware es preferible)

Una vez definidos estos criterios sólo queda elegir el WAF pero, como véis a continuación, la oferta es bastante amplia, ¿cuales son vuestras preferencias?:

Herramientas Opensource

• AQTronix - WebKnight
  
• Breach - ModSecurity

Herramientas comerciales

• art of defence - hyperguard
  
• Breach - WebDefend
  
• Deny All - rWeb
  
• Fortify Software - Defender
  
• Imperva - SecureSphere™
  

• Applicure - DotDefender
  
• Radware AppWall
  
• Armorlogic - Profense
  
• Barracuda Networks - Application Firewall
  
• Bee-Ware - iSentry
  
• BinarySec - Application Firewall
  
• BugSec - WebSniper
  
• Cisco - ACE Web Application Firewall
  
• Citrix - Application Firewall
  
• eEye Digital Security - SecureIIS
  
• F5 - Application Security Manager
  
• Forum Systems - Xwall, Sentry
  
• mWEbscurity - webApp.secure
  
• Phion / Visonys - Airlock
  
• Protegrity - Defiance TMS - Web Application Firewall
  
• Xtradyne - Application Firewalls