Cortafuegos de aplicación
|
Este artículo necesita referencias adicionales para verificación. (Febrero de 2010) (Aprender cómo y cuándo quitar este mensaje de plantilla) |
Un cortafuegos de aplicación es una forma de cortafuegos que controla entrada, salida, o acceso de, a o por una aplicación o un servicio. Funciona mediante la supervisión y potencialmente bloqueando la entrada, salida, o llamadas de servicio de sistema no cumplan con la política de configuración del firewall. El cortafuegos de aplicación es típicamente construido para controlar todo el tráfico de red en cualquier Capa de OSI hasta el capa de aplicación. Es capaz de controlar las aplicaciones o servicios en concreto, a diferencia de un cortafuegos con seguimiento de estado de la red, que es - sin software adicional - incapaces de controlar el tráfico de red sobre una aplicación específica. Hay dos categorías primarias de firewalls de aplicación, cortafuegos de aplicación basada en red y cortafuegos de aplicación basada en host.
Contenido
- 1 Cortafuegos de aplicación basada en red
- 1.1 Historia
- 2 Cortafuegos de aplicación basada en host
- 3 Ejemplos
- 4 Implementaciones de
- 4.1 Mac OS X
- 4.2 Linux
- 4.3 Windows
- 4.4 Dispositivos de red
- 5 Cortafuegos de aplicación especializada
- 5.1 Historia
- 5.1.1 Cortafuegos de aplicación web distribuida
- 5.1.2 Cortafuegos de aplicación web en la nube
- 5.1 Historia
- 6 Véase también
- 7 Referencias
- 8 Acoplamientos externos
Cortafuegos de aplicación basada en red
Un firewall de capa de aplicación basado en la red es una red de computadoras cortafuegos funcionamiento en el capa de aplicación de una pila de protocolos,[1] y también es conocido como un firewall basado en proxy o proxy reverso. Cortafuegos de aplicación específicos para un tipo particular de tráfico de red pueden titulados con el nombre del servicio, tales como una cortafuegos de aplicación Web. Puede ser implementados mediante software que se ejecuta en un host o una pieza independiente del hardware de red. A menudo, es un host que utiliza diversas formas de servidores proxy al tráfico antes de pasar al cliente o el servidor de proxy. Porque actúa sobre la capa de aplicación, se puede inspeccionar el contenido del tráfico, bloqueo de contenido especificado, como ciertos sitios web, virus, o intenta aprovechar conocidos defectos lógicos en software cliente.
Cortafuegos de aplicación moderna pueden también encriptación de los servidores de descarga, detectado aplicación bloque entrada/salida de intrusiones o comunicación con formato incorrecto, administrar o consolidar autenticación de, o contenido de bloque que viole las políticas de.
Historia
Gene Spafford de La Universidad de Purdue, Bill Cheswick en AT & T laboratorios, y Marcus Ranum se describe un tercer firewall generación conocido como un firewall de nivel de aplicación. Trabajo de Marcus Ranum, basado en el servidor de seguridad creada por Paul Vixie, Brian Reed y Jeff Mogul, encabezó la creación del primer producto comercial. El producto fue lanzado por DEC, llamado el DEC del sello por Geoff Mulligan -Asegurar el enlace de acceso externo. Primera venta importante de DEC era el 13 de junio de 1991 a una compañía química basada en la costa este de Estados Unidos.
Bajo un contrato más amplio de la DARPA en TIS, Marcus Ranum, Xu Wei, Peter Churchyard desarrolló el Firewall Toolkit (FWTK) y hace libremente disponible debajo de licencia en 01 de octubre de 1993. Los propósitos para lanzar el libremente disponible, no para uso comercial, FWTK fueron: demostrar, mediante el software, documentación y métodos utilizados, cómo una empresa (en el momento) de experiencia 11 años en métodos de seguridad formal y personas con experiencia de firewall, software de firewall desarrollado; para crear una base común de software muy buen firewall para que otros puedan construir sobre (por lo que la gente no tenía que seguir a "su propio" partir de cero); y para "elevar el listón" de software de firewall se utiliza. Sin embargo, FWTK era un proxy de aplicación básica que requiere la interacción del usuario.
En 1994, Wei Xu extendió FWTK con la mejora del Kernel de filtro IP de stateful y zócalo transparente. Este fue el primer cortafuegos transparente, conocido como el inicio de el firewall de generación tercera, más allá de un (proxy de aplicación tradicionalla segunda generación de firewall), lanzado como el producto comercial conocido como cortafuegos Gauntlet. Firewall de guante fue calificado como uno de los firewalls de aplicación superior desde 1995 hasta 1998, el año que fue adquirida por Network Associates Inc, (NAI).
El beneficio clave de filtrado de capa de aplicación es que puede "entender" ciertas aplicaciones y protocolos (como el protocolo de transferencia de ficheros, DNS o navegación por la web), y puede detectar si un protocolo no deseado es que se coló a través de en un puerto no estándar o si se está abusando de un protocolo de ninguna manera perjudicial.
Cortafuegos de aplicación basada en host
Un firewall basado en host de la aplicación puede controlar cualquier aplicación entrada, salida y sistema de llamadas de servicio de, a, o por una aplicación. Esto se hace mediante el examen de información pasado a través de llamadas al sistema en vez de o además de una pila de red. Un firewall basado en host de la aplicación sólo puede proporcionar la protección para las aplicaciones que se ejecutan en el mismo host.
Función de cortafuegos de aplicación mediante la determinación de si un proceso debe aceptar cualquier conexión dada. Cortafuegos de aplicación cumplir con su función enganchando en llamadas de socket para filtrar las conexiones entre la capa de aplicación y las capas inferiores del modelo OSI. Cortafuegos de aplicación en llamadas de socket que se denominan también filtros de toma. Firewalls de aplicación funcionan como un filtro de paquetes pero filtros de aplicación aplicarán las reglas de filtrado (permitir/bloquear) por proceso en lugar de filtrado de conexiones en una base por puerto. Generalmente, se utilizan mensajes para definir las reglas para los procesos que no han recibido todavía una conexión. Es raro encontrar firewalls de aplicación no combinar o utilizar junto con un filtro de paquetes.[2]
También, firewalls de aplicación más filtran conexiones por examinar el identificador de proceso de paquetes de datos contra un conjunto de reglas para el proceso local involucrado en la transmisión de datos. La magnitud de la filtración que se produce se define por el conjunto de reglas proporcionado. Dada la variedad de software que existe, firewalls de aplicación sólo tienen reglas más complejas para los servicios estándar, como el intercambio de servicios. Estos por conjuntos de reglas del proceso han limitado eficacia en filtrado de cada posible asociación que puede ocurrir con otros procesos. Además, estos por proceso reglas no pueden defender contra la modificación del proceso mediante la explotación, como vulnerabilidades de corrupción de memoria.[2] Debido a estas limitaciones, firewalls de aplicación están empezando a ser suplantado por una nueva generación de firewalls de aplicación que dependen de control de acceso obligatorio (MAC), también conocido como Sandboxing, para proteger los servicios vulnerables. Ejemplos de firewalls de aplicación basada en host generación siguiente que llamadas de servicio de sistema de control de una aplicación son AppArmor[3] y la estructura de TrustedBSD MAC (sandboxing) en Mac OS X.[4]
Firewalls basados en host de la aplicación también pueden servir de cortafuegos de aplicaciones basadas en red.
También pueden controlar sistemas de sandboxing archivo y proceso accesos así como acceso a la red. Sistemas de sandboxing comercial están disponibles para Windows y Unix el tipo de sistemas operativos.
Ejemplos
Para ilustrar mejor el concepto, esta sección enumera algunos ejemplos de firewall de aplicación específica.
Implementaciones de
Existen diversas aplicaciones disponibles, incluyendo firewalls tanto libre y abren la fuente software y productos comerciales.
Mac OS X
Mac OS X, a partir de Leopard, incluye una implementación del marco de TrustedBSD MAC, que se toma de FreeBSD.[5] El marco de TrustedBSD MAC se utiliza para sandbox algunos servicios, tales como mDNSresponder, como AppArmor se utiliza para servicios de sandbox en algunas distribuciones de Linux. El marco de TrustedBSD MAC proporciona una capa por defecto del cortafuegos dada la configuración predeterminada de los servicios de uso compartidos en Mac OS X Leopard y Snow Leopard.
El firewall de aplicación ubicado en las preferencias de seguridad de Mac OS X a partir de Leopard proporciona la funcionalidad de este tipo de firewall en un grado limitado mediante el uso de código firmar apps añadidas a la lista de firewall. En su mayor parte, este firewall de aplicación sólo gestiona las conexiones de red a comprobar si las conexiones entrantes se dirigen hacia una aplicación en la lista del firewall y aplica la regla (bloquear/permitir) especificada para las aplicaciones.
Linux
Esta es una lista de paquetes de software de seguridad para Linux, lo que permite un filtrado de aplicaciones a la comunicación de sistema operativo, posiblemente sobre una base por-usuario:
- Kerio Control -un producto comercial
- AppArmor
- ModSecurity -también funciona bajo Windows, Mac OS X, Solaris y otras versiones de Unix. ModSecurity es diseñado para trabajar con los servidores web IIS, Apache2 y NGINX.
- Systrace
- Zorp
Windows
- WinGate
Dispositivos de red
Estos productos son vendidos como equipos de red de hardware y en algunos casos como imágenes virtuales que se ejecutan en hardware de servidor básico.
- AIONCLOUD
- Redes de A10 Cortafuegos de aplicación Web
- Barracuda Networks Web aplicación Firewall/Load Balancer ADC
- Monitorapp AIWAF
- Check Point
- Citrix NetScaler
- Cloudbric
- CloudFlare
- Imperva
- Tecnologías KEMP
- Seguridad Penta
- SmoothWall
- Desenredar
- WatchGuard
Cortafuegos de aplicación especializada
Cortafuegos de aplicación especializada ofrecen un conjunto completo de funciones en la protección y control de una aplicación específica. Firewalls de aplicación de aparato de red más especializados son para aplicaciones web.
Historia
Ataques de hackers de servidor web a gran escala, como la hazaña de PHF CGI 1996,[6] conducir a la investigación en modelos de seguridad para proteger las aplicaciones web. Este fue el comienzo de lo que se conoce actualmente como la familia de tecnología de firewall (WAF) de aplicación de web. Los primeros participantes en el mercado comenzaron a aparecer en 1999, como Tecnologías de perfecto's AppShield,[7] (que más tarde cambió su nombre a Sagrario y en 2004 fue adquirida por Watchfire[8] (adquirida por IBM en 2007), que se centró principalmente en el mercado de comercio electrónico y protegido contra entradas de carácter ilegal de la página. NetContinuum (adquirida por Barracuda Networks en 2007) abordado el tema proporcionando preconfigurada 'servidores de seguridad'. Tales pioneros ante propietario conjunto de reglas temas, obstáculos caso empresarial y costo las barreras a la adopción amplia, sin embargo, la necesidad de este tipo de soluciones fue arraigando.
En 2002, el proyecto de código abierto ModSecurity, dirigido por piedra pensando y más tarde adquirida por incumplimiento seguridad en 2006,[9] se formó con la misión de resolver estos obstáculos y hacer accesible la tecnología WAF para cada empresa. Con el lanzamiento del conjunto de reglas fundamentales, un único[citación necesitada] conjunto de reglas de código abierto para la protección de aplicaciones Web, basadas en la OASIS Web aplicación técnica del Comité de seguridad (era TC) trabajo de vulnerabilidad, el mercado tenía un modelo estable, bien documentado y estandarizado a seguir.
En 2003, trabajo de la CT fue se amplió y estandarizada en toda la industria a través del trabajo del proyecto abierto de seguridad del uso en Web (OWASP) Top 10 lista. Esta clasificación anual es un esquema de clasificación de las vulnerabilidades de seguridad web, un modelo para proporcionar orientación para inicial amenaza, impacto y una manera de describir las condiciones que pueden ser utilizadas por herramientas de evaluación y protección, como un WAF. Esta lista se encendería convertirse en el referente de la industria para muchos regímenes de cumplimiento.
En 2004, gestión de gran tráfico y proveedores de seguridad, principalmente en el espacio de la capa de red, entraron al mercado de WAF por medio de un frenesí de fusiones y adquisiciones. Clave entre ellas fue la jugada de mitad de año por F5 para adquirir Magnifire WebSystems,[10] y la integración de este último TrafficShield solución de software con sistema de gestión de tráfico de la ex Big-IP. Este mismo año, F5 adquirió AppShield y había continuado de la tecnología. Posterior consolidación ocurrió en 2006 con la adquisición de Kavado por Protegrity,[11] y Citrix Systems compra de Teros.[12]
Hasta este punto, el mercado de WAF fue dominado por los proveedores de nicho que se centró en la seguridad de capa de aplicaciones web. Ahora el mercado fue dirigido firmemente en la integración de productos WAF con las tecnologías de red – equilibrio, servidores de aplicaciones, firewalls de red, etc., de carga y comenzó una carrera de rebranding, cambiar el nombre y el reposicionamiento de la WAF. Opciones eran confusos, caro y aún no entendidos por el mercado más grande.
En 2006, el consorcio de seguridad de aplicación Web se formó para ayudar a hacer sentido del mercado ahora ampliamente divergente de la WAF. Como el proyecto de criterios de evaluación de cortafuegos de aplicación Web (WAFEC), esta comunidad abierta de usuarios, vendedores, academia y analistas independientes e investigadores creados un criterio de evaluación común para la adopción de WAF que todavía hoy se mantiene.
Interés de gran escala en el WAF comenzó en serio, ligada a la de 2006 PCI Security Standards Council formación y cumplimiento de mandato. Principales tarjeta de pago marcas (AMEX, Visa, MasterCard, etc.) formaron el PCI como forma de regular las prácticas de seguridad en toda la industria y reducir la rampante fraude de tarjeta de crédito llevando a cabo. En particular, el mandato de esta norma que todas las aplicaciones web deben ser seguras, ya sea a través de desarrollo seguro o uso de un WAF (requisito 6.6). El OWASP Top 10 constituye la columna vertebral de este requisito.
Con el creciente foco en virtualización y Cloud computing para maximizar los recursos existentes, escalamiento de tecnología WAF se ha convertido en el hito más reciente.
En 2010, el mercado de WAF había madurado a un mercado superior a $200 M en tamaño según Forrester. En un informe de febrero de 2010, cortafuegos de aplicación Web: 2010 y más allá, Analista de Forrester Chenxi Wang escribió, "Forrester estima que los ingresos de 2009 mercado del WAF + mercado a casi $ 200 millones y un sólido 20% crecerá el mercado en 2010. Gerentes de seguridad y riesgo pueden esperar dos tendencias de WAF en 2010: 1) midmarket-WAFs amistoso estará disponibles, y 2) grandes empresas gravitará hacia el cada vez más frecuente WAF + soluciones. "escribió que"Imperva es el líder de la WAF de independiente".
Cortafuegos de aplicación web distribuida
Distribuidos cortafuegos de aplicación Web (también llamado un dWAF) es un miembro de lo cortafuegos de aplicación web (WAF) y Seguridad de aplicaciones Web familia de tecnologías. Puramente basada en software, la arquitectura del dWAF se diseña como componentes separados puede existir físicamente en diferentes áreas de la red. Este avance en la arquitectura permite el consumo de recursos del dWAF se separó a través de una red más que dependen de un dispositivo, permitiendo total libertad ampliar según sea necesario. En particular, permite la adición / substracción de cualquier número de componentes independientemente uno del otro para la mejor administración de recursos. Este enfoque es ideal para grandes y distribuidas las infraestructuras virtualizadas como público privado, o modelos de cloud híbrido.
Cortafuegos de aplicación web en la nube
Cortafuegos de aplicación web en la nube también es miembro de lo cortafuegos de aplicación web (WAF) y seguridad de aplicaciones Web familia de tecnologías. Esta tecnología es única debido a que es independiente de la plataforma y no requiere ningún cambio de hardware o software en el host. Todos los proveedores pero se requiere un cambio DNS, en donde todo el tráfico web es enrutado a través de la WAF donde es inspeccionado y amenazas se frustran. WAFs en la nube son típicamente centralmente orquestadas, que significa que la información de detección de la amenaza es compartida entre todos los arrendatarios del servicio. Esta colaboración resulta en tasas de detección mejorada y menor falsos positivos. Como otras soluciones en la nube, esta tecnología es escalable, elástico y por lo general se ofrece como un pagar-como-usted crecer servicio. Este enfoque es ideal para aplicaciones web basadas en la nube y pequeñas o medianas webs que requieren seguridad de aplicaciones web, pero no están dispuestos o capaces de hacer software o hardware cambios a sus sistemas.
Véase también
- ModSecurity
- Seguridad informática
- Software de control de contenido
- Servidor proxy
- Seguridad de la información
- Seguridad de aplicaciones
- Seguridad de la red
Referencias
- ^ Luis F. Medina (2003). La serie de enlace más débil de seguridad (1ª ed.). IUniverse. p. 54. ISBN 978-0-595-26494-0.
- ^ a b ¿"cortafuegos de software: de paja? Parte 1 de 2". Symantec.com. Symantec Connect comunidad. 2010-06-29. 05-09-2013.
- ^ "Sus aplicaciones con AppArmor de firewall". 2010-02-15.
- ^ "El proyecto TrustedBSD". El proyecto TrustedBSD. 2008-11-21. Programa archivado de la original en 23 de enero de 2010. 2010-02-15.
- ^ "Marco de Control (MAC) de acceso obligatorio". TrustedBSD. 05-09-2013.
- ^ CERT (20 de marzo de 1996). "CERT Advisory CA-1996-06 vulnerabilidad en el código de ejemplo de CGI de Apache NCSA". Centro de coordinación CERT. 2010-11-17.
- ^ Ellen Messmer (07 de septiembre de 1999). «nueva herramienta bloquea trucos de hacker wily e-comm». CNN. 2010-11-17.
- ^ Jaikumar Vijayan (04 de agosto de 2004). "Q & A: Watchfire CTO ve Sagrario adquisición como un buen ajuste". Computerworld. 2010-11-17.
- ^ Kirk de Jeremy (25 de septiembre de 2006). "Violación de seguridad adquiere rival firewall ModSecurity". InfoWorld. 2011-12-06.
- ^ Tim Greene (01 de junio de 2004). "F5 compra Magnifire por $ 29 millones". Mundo de la red. 2011-12-06.
- ^ Linda Rosencrance (19 de agosto de 2005). "Protegrity adquiere proveedor de seguridad de aplicaciones Web Kavado". Computerworld. 2011-12-06.
- ^ James Rogers (15 de noviembre de 2005). «Citrix recoge Teros». networkcomputing.com. 2011-12-06.
Acoplamientos externos
- Cortafuegos de aplicación Web, Abra el proyecto de seguridad de aplicación Web
- Criterios de evaluación de cortafuegos de aplicación Web, de la Consorcio de seguridad de aplicación Web
- Seguridad en el hay: 'Vaporizar' el cortafuegos de aplicación Web para asegurar cloud computing