PDF de programación - Proteger el servidor web

114

Perspectiva Empresarial

Proteger el servidor web

LAS COMPAÑÍAS TIENEN UN NIVEL ACEPTABLE DE PROTECCIÓN EN FIREWALLS Y PARCHES,
DEJANDO AL DESCUBIERTO POCAS VULNERABILIDADES. SIN EMBARGO, SI LA EMPRESA
TIENE UNA ALTA PRESENCIA WEB, SE SUELEN ENCONTRAR VULNERABILIDADES

nas de «try & buy», hacen que gran-
des compañías sufran enormes perdi-
das de productividad o económicas
diariamente, consiguiendo que estas
empresas reduzcan su presencia en
Internet, o que se desaprovechen mu-
chas oportunidades de negocio.

El remedio

escaneaba la aplicación web en busca
de vulnerabilidades y generaba una
serie de reglas para prevenir estos
fallos (Sanctum o Kavado son buenos
ejemplos de esta tecnología).

Mas tarde comenzaron a salir

Firewalls de Aplicación que, además,
eran capaces de analizar logs del ser-
vidor para crear un listado de reglas,
analizando el uso de la aplicación web.

Para poder parar o bloquear este

Y después, se creo Netcontinuum,

tipo de ataques, se requiere un
Firewall de Aplicación. Estos dispositi-
vos se ponen delante de los servidores

una nueva forma de entender los
Firewalls de Aplicación.

Hasta entonces eran dispositivos

Pablo
Valenzuela

DIRECTOR DE
SISTEMAS
VPN

P or ejemplo, ¿alguna vez os

habéis encontrado con la url
http://paginaweb/

inicio.asp?SID=12345? A veces ese
SID es el User ID, y a veces sólo es
necesario reducirlo en uno para atacar
al usuario que se conectó antes que
nosotros. Aunque este ejemplo no se
encuentra a menudo, muchos fallos de
seguridad en el entorno web no están
cubiertos, y actualmente suponen uno
de los mayores riesgos en entornos
corporativos.

Pese a que muchos de estos fallos

pueden solucionarse con una buena
programación, algunos fallos son más
difíciles de sortear. Es el caso por
ejemplo de la empresa ChoicePoint
(como se puede leer en la url http://
www.msnbc.msn.com/id/6969799/),
que se dio por hecho que sólo «los
buenos» se darían de alta en sus ser-
vicios, provocando que muchas falsas
compañías se dieran de alta para ver
el histórico de créditos.

Netcontinuum es capaz de
proteger el servidor web,
no sólo mediante unas
reglas fáciles e intuitivas,
sino con una amplia gama
de posibilidades

web protegiendo el servidor web, el
sistema operativo y las aplicaciones
web. Además, proveen la posibilidad
de controlar sesiones de usuario, o
denegar peticiones según el volumen o
la frecuencia del mismo.

He vivido varias generaciones de

difíciles de manejar, costosos de admi-
nistrar y en muchas ocasiones, carga-
ban aun más nuestro servidor web.

Netcontinuum ofrece una alternati-
va: un Firewall de Aplicación capaz de
analizar todo el trafico «on the fly»,
capaz de generar reglas de varias for-
mas (desde un análisis del trafico has-
ta la creación de una regla con un solo
click, o bloqueando los diferentes tipos
de ataques como XSS o SQL
Injection), y siempre sin cargar el ser-
vidor web.

De esta forma, Netcontinuum es

capaz de proteger el servidor web, no
sólo mediante unas reglas fáciles e
intuitivas, sino con una amplia gama
de posibilidades que cubre las necesi-
dades actuales:
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Firewall de aplicación: fácil de
usar, sin necesidad de unos conoci-
mientos extremadamente amplios del

Fallos como estos, o fallos en pági-

Firewalls de Aplicación. La primera

nº 3 (cid:132) mayo / junio 2006

Perspectiva Empresarial

115

protocolo y de la aplicación, permitien-
do toda la granularidad que deseemos,
y permitiendo crear varios Firewalls,
con la posibilidad de administrar las
diferentes aplicaciones desde entornos
distintos, pudiendo incluso revender el
dispositivo a los clientes
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Firewall: diseñado para proteger al
propio dispositivo, también se puede
usar para proteger el entorno de apli-
caciones
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Balanceo de Carga: con el que nos
aseguramos la alta disponibilidad de
nuestras aplicaciones
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Cacheo: con el que descargamos al
servidor web, sirviendo contenidos
frecuentemente utilizados directamen-
te desde nuestro Firewall (como imá-
genes o documentos estáticos)
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Terminador SSL: modulo necesario
para poder filtrar el protocolo HTTPS,
descarga toda la función criptográfica
de nuestro servidor web, haciéndose
cargo de ella en el firewall, y dejando
así que el servidor haga el trabajo
para el que se creó: servir aplicacio-
nes.
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Cloacking: esta función permite
que los usuarios no conozcan el entor-
no de servidores que hay detrás. En
vez de usar

«clientes.nuestraempresa.com» y
«externo.nuestraempresa.com» (es-
tructura que podría desvelar que tene-
mos dos servidores web),
Netcontinuum ofrece la posibilidad de
englobar todo como
«nuestraempresa.com/clientes» o
«nuestraempresa.com/externo», ade-
más de eludir herramientas que des-

Pese a que muchos de
estos fallos pueden
solucionarse con una
buena programación,
algunos fallos son más
difíciles de sortear

velen la versión de software de los
servidores web, ofreciendo así una
protección mediante la cual el atacan-
te no sabe el número, versión ni apli-
caciones que se encuentran detrás.
(cid:132)(cid:132)(cid:132)(cid:132)(cid:132) Protección de Servicios Adiciona-
les: ya que cualquier servidor web
conlleva un servidor SMTP o FTP,

Netcontinuum es capaz de proteger
estos servicios y muchos otros, asegu-
rando la integridad de las aplicaciones
por completo.

Estas herramientas y muchas otras

(WAT, normalización, Anti-Crawl,
Encriptación de Cookies, Anti-DoS,
VLAN, Comprobación de Protocolo,
Soporte SOAP…) puestas en un
apliance de 48 procesadores ASIC, con
un procesador dedicado a administra-
ción en una estructura hardware sepa-
rada por completo, y un sistema ope-
rativo propietario, aseguran que
Netcontinuum ofrezca la máxima pro-
tección, creando un GAP Virtual, y
ofreciendo un entorno de administra-
ción tan granular o tan simple como
nosotros queramos, y capaz de inte-
grarse con nuestras herramientas de
monitorización de múltiples maneras
(syslog, SNMP, CLI…)

Además, con el «Web Services

Edition» (el producto de Netontinuum
centrado en proteger únicamente servi-
dores Web), podemos proteger por
primera vez, nuestras aplicaciones XML,
asegurando así toda nuestra estructura
de aplicaciones web de una forma cen-
tralizada, versátil y sin necesidad de
emplear altos recursos técnicos.

nº 3 (cid:132) mayo / junio 2006