O que é WAF, funcionamento e como usar?

Sua empresa tem um website, um serviço ou aplicação online, integrações de sistemas da empresa via alguma API? Se a resposta for sim, então esta conversa sobre WAF (Web Application Firewall) é necessária, é muito importante!

Mas ainda bem que você está aqui, seja porque já teve problemas, seja porque quer se prevenir de possíveis dores de cabeça. Qualquer que for a razão, neste post vamos esclarecer as principais dúvidas a respeito e ao fim você entenderá a importância, o funcionamento e como incrementar a segurança online do seu negócio.

Vamos começar?

O que é WAF (Web Application Firewall)?

WAF é a sigla de Web Application Firewall (Firewall de Aplicação Web, em português) e como o nome sugere, constitui um firewall cuja função é monitorar e filtrar tráfegos maliciosos direcionados para aplicações hospedadas em um servidor online.

Concordamos que essa é uma aplicação que não é muito esclarecedora para quem não tem muito conhecimento sobre redes de computadores, sobre os protocolos de Internet e sobre outros assuntos relacionados.

Por isso, vamos falar dos conceitos envolvidos:

  • Firewall – um firewall – pode ser tanto hardware quanto software – é um sistema destinado a monitorar o tráfego de dados e com base em um conjunto de regras (políticas), decidir se permite ou se bloqueia esse tráfego;

  • Aplicação Web – aplicações Web podem ser um site qualquer, um webmail, um e-commerce, uma API responsável pela troca de dados entre dois sistemas, ou quem sabe o CRM online da empresa;

  • Protocolos de Internet – constituem os conjuntos de regras rígidas e definidas de como deve ocorrer a troca de dados de uma série de serviços Web (E-Mail, FTP, HTTPS, SSH, TCP/IP, etc). Para enviar e receber mensagens de correio eletrônico, usa-se um protocolo. Para acessar sites, outro. Para usar WhatsApp, um terceiro e assim por diante.

Ou seja, um WAF é responsável por efetuar o monitoramento dos dados que chegam dos dispositivos conectados na Internet (smartphones, notebooks, outros servidores, dispositivos IoT, etc) e têm como destino alguma aplicação rodando em um servidor Web, verificando se as regras estabelecidas (as políticas do firewall) permitem que esse tráfego ocorra.

Na prática, um WAF é um mecanismo de segurança cujo objetivo é conter ataques específicos, como:

  • SQL Injection – no ataque de SQL Injection envia comandos SQL via campos de entrada, aproveitando falhas na validação de dados. Se a aplicação estiver vulnerável, o invasor consegue acessar, alterar ou remover dados do banco de dados da aplicação;

  • Cross-site Scripting (XSS) – no XSS é feita a inclusão de scripts maliciosos em páginas Web, possibilitando o roubo de dados, a alteração de conteúdo da página e o sequestro de sessões, afetando diretamente os usuários que acessarem a página onde o script foi inserido (ex: download de malware);

  • Cross-Site Request Forgery (CSRF) – essa técnica consiste no envio de comandos em nome de um usuário legítimo e autorizado, explorando sua autenticação para realizar ações indevidas, como por exemplo, alteração da sua senha;

  • Ataques a endpoints de API – nessa modalidade, o atacante tenta explorar vulnerabilidades em integrações de sistemas – muito comuns hoje em dia – para acessar dados sensíveis, manipular transações ou comprometer serviços;

  • Ataques DDoS – no ataque DDoS os atacantes tentam derrubar o seu site inundando o servidor com acessos falsos. O WAF identifica esse comportamento incomum e bloqueia as requisições maliciosas antes que elas esgotem os recursos do seu servidor, mantendo sua página no ar.

Nesse ponto, alguns podem se perguntar: “Mas qual a diferença entre um WAF e um firewall ‘tradicional’?”.

Diferença entre WAF e firewall

Ambos são firewalls e, portanto, baseiam-se em regras que estabelecem o que é permitido (lista de permissões ou modelo de segurança positivo) ou o que deve ser bloqueado (lista de bloqueios ou modelo de segurança negativo) em relação ao tráfego de dados.

A principal diferença reside na camada do que se conhece por “Modelo OSI” em que cada um atua.

Os WAFs protegem ataques na Camada 7 do Modelo OSI, que é o nível do aplicativo. Já os firewalls de rede (os “tradicionais”) operam nas camadas 3 e 4 do modelo, protegendo a transferência de dados e o tráfego de rede.

WAF e Modelo OSI

Ou seja, imagine o firewall tradicional como o segurança do portão de um prédio comercial: ele checa a identificação (como o endereço IP) e decide quem entra no condomínio. Já o WAF atua na camada da aplicação (a chamada Camada 7). Ele é como o segurança da porta da sua sala comercial: analisa o comportamento de quem já entrou no prédio para garantir que ninguém tente quebrar as regras ali dentro.

Portanto, uma proteção não é melhor do que a outra, e uma não substitui a outra.

Elas devem ser complementares e atuar em camadas diferentes, pois, do outro lado, os criminosos digitais estão evoluindo constantemente — seja explorando vulnerabilidades, criando ataques cada vez mais sofisticados ou variando e adaptando técnicas diferentes.

Para se ter uma ideia da importância dessa proteção em cada camada, os firewalls de rede são essenciais na contenção de ataques ao Sistema de Nomes de Domínio (DNS), ao protocolo de transferência de arquivos (FTP), além do Secure Shell (SSH) e Telnet.

Como funciona um WAF?

Basicamente, o WAF atua como se fosse um proxy reverso, ou seja, ele é interposto entre o servidor que hospeda a aplicação e o que vem da Internet:

  • Monitoramento das requisições – todas as solicitações que vêm via HTTP/HTTPS dos internautas, de outros servidores, ou de diferentes dispositivos (ex: uma câmera IP), como o preenchimento de um formulário, ou clique em um menu, são recebidas primeiro pelo WAF;

  • Regras – aqui os dados contidos na solicitação, são comparados com o banco de dados que contém as regras, as quais costumam conter padrões conhecidos de ataques e, portanto, que não são permitidas;

  • Bloqueio / Liberação – se a requisição for considerada segura, o WAF a libera para o servidor. Se for maliciosa, ele a bloqueia instantaneamente.

Outro ponto a se destacar relativo ao funcionamento, depende do tipo de firewall de aplicação.

Tipos de WAF

Os WAFs podem ser implementados de três formas principais:

  • Baseados em nuvem – esse tipo é oferecido como serviço (SaaS). São fáceis de configurar e filtram o tráfego antes que ele chegue à hospedagem;

  • Baseados em rede – aqui ele é instalado em hardware e fisicamente na rede do servidor onde a aplicação está hospedada. Oferece alta performance, mas exigem investimento em equipamentos e manutenção;

  • Baseados em host – instalado mesmo servidor da aplicação. É altamente personalizável e tem menor latência que o primeiro, mas por compartilhar recursos de hardware, consome processamento e memória do servidor.

Como usar um WAF?

A ideia aqui é focarmos na terceira opção de implementação (firewall de aplicação baseado em host), que é a mais simples, rápida e acessível para sites hospedados em ambientes compartilhados, a realidade da maioria das pequenas empresas.

Nesse contexto, listamos e comentamos a seguir, três opções populares, gratuitas e open source.

1. ModSecurity

Não dá para falar de WAF baseado em host, gratuito e open source, sem falar no ModSecurity.

Popularmente conhecido apenas como ModSec, é o mais usado em servidores web, como Apache e Nginx.

Disponível por padrão para todos os clientes HostMídia, ele oferece um bom grau de proteção contra as ameaças mais comuns, como ataques de força bruta (Brute Force), Inclusão Remota de Arquivos (RFI) e Cross-Site Scripting (XSS).

Além disso, vários outros conjuntos de regras estão disponíveis e podem ser adicionados por meio de módulos independentes.

A empresa que o mantinha encerrou o suporte comercial e técnico, mas ModSecurity continua sendo mantido pela OWASP (Open Web Application Security Project) e assim, totalmente gratuito e ativo pela comunidade

2. Coraza

Outra boa opção e que se tornou popular, é o OWASP Coraza

Tem sido considerado um poderoso WAF nativo para nuvem escrito na linguagem Go, ele foi projetado para ser um substituto mais moderno e de altíssimo desempenho para o ModSecurity e inclusive oferece suporte à linguagem seclang do Modsecurity, sendo 100% compatível com o OWASP Core Ruleset.

Segundo seus adeptos e desenvolvedores, apresenta ótima performance no processamento de transações e regras em comparação aos motores tradicionais.

3. BunkerWeb

A terceira opção, é o BunkerWeb é um WAF também gratuito e open source como os dois anteriores, bastante robusto e completo que se autodenomina "seguro por padrão".

Ele funciona como um servidor web focado em segurança e contenção das principais ameaças Web (como o OWASP Top 10) e mitigar ataques DDoS.

Embora seja muito associado a tecnologias avançadas de infraestrutura (como contêineres Docker), sua eficiência em automatizar certificados SSL e bloquear bots maliciosos o torna uma excelente opção de mercado.

Conclusão

Proteger os seus sites ou as suas aplicações com um WAF não é questão de escolha, mas uma necessidade essencial para manter seu negócio online e seguro. Combinando o poder de um firewall de rede com a inteligência de um WAF baseado em host, seja um site WordPress, seja um e-commerce, seja qualquer outra aplicação, você ergue uma blindagem robusta contra diferentes ameaças. Invista em segurança digital e garanta a tranquilidade que seus clientes e sua empresa merecem!

 
 

 

 

Artigos relacionados

Segurança
ECA Digital, a lei que protege as crianças no mundo digital
Segurança
Ataque DDoS: Entenda o que é, tipos de ataque e como evitar
Segurança
Backup: O que é, tipos e dúvidas mais comuns

Comentários ({{totalComentarios}})