Categorias
Recursos Segurança

WAF: o que é e como funciona

Tempo, trabalho e investimento: três fatores presentes na construção de qualquer site. Para além disso, manter o seu negócio seguro é tão essencial quanto deixá-lo disponível para o usuário acessar. Pensando nisso, hoje você descobrirá: o que é um WAF?

Eu já adiantei ali em cima que, no mercado de hospedagem, fala-se muito sobre deixar um site acessível e muito pouco sobre formas de, realmente, mantê-lo seguro.

Assim sendo, a maioria dos hosts vendem a ideia de que um plugin de segurança, um software ou mesmo um firewall de rede sozinhos são capazes de barrar invasões e ataques. Mas não são. Nem de perto.

Dessa forma, um firewall profissional voltado para a aplicação emerge como a solução mais eficaz, embora nem sempre mais viável financeiramente.

WAF

O que é um WAF?

O WAF, acrônimo de Web Application Firewall, é, basicamente, um guardião. Isso porque inspeciona o tráfego de entrada e saída de uma aplicação web, como um site.

Ao fazê-lo, ele bloqueia uma gama de ataques, tais como força bruta, spam, SQL Injections (SQLi), Cross-Site Scripting (XSS), Remote Code Execution (RCE), Arbitrary File Upload (AFU), incluindo eventos zero-day.

Caso você não saiba, eventos zero-day ou “dia zero” se referem às vulnerabilidades de segurança descobertas por hackers, das quais os desenvolvedores e fornecedores não tinham conhecimento. Dessa forma, o prazo para corrigi-las é quase que imediato, uma vez que já foram exploradas.

Em outras palavras, o WAF te ajuda na determinação e na administração de regras para barrar ameaças, o que inclui endereços de IP com atividades suspeitas, injeção de códigos para controle e execução de comandos no servidor e no banco de dados, corpo e cabeçalhos HTTP com padrões estranhos e demais ameaças.

Como um WAF funciona?

Agora que você já sabe a definição de WAF, chegou a hora de entender como ele funciona.

Como vimos, ele faz com que todo o tráfego do seu site passe por centenas de filtros que determinam sua legitimidade.

Se for encontrada alguma irregularidade, no sentido de atividade estranha ou maligna, a requisição HTTP é bloqueada com o famoso erro 403 ou mesmo o endereço de IP pode ser bloqueado temporariamente a nível de rede.

Mas, em um mar de funcionalidades como as das páginas web, você deve estar se perguntando: “como saber o que é uma ameaça?

Os melhores WAFs do mercado possuem avançadíssimos algoritmos para identificar com base em uma série de padrões de comportamento e indicadores de comprometimento (IOC) se uma requisição é ou não legítima.

Isso engloba a maior parte de ataques hacker conhecidos, dos mais simples ao ataques DDoS.

Bons provedores de WAF também contam com equipes de pesquisadores de segurança que identificam e criam defesas contra novos vetores de ataque até mesmo antes que os próprios desenvolvedores das plataformas (0 day).

Erro 403

O que é um ataque DDoS?

Como falei, outro inimigo dos sites são os ataques de negação de serviço distribuídos, os temidos (D)DoS. Os melhores WAFs já possuem redes com capacidades gigantescas e hardwares especializados para impedir exatamente esse tipo de ataque.

Comumente, os ataques DDoS usam uma rede zumbi chamada “botnet” para atacar o seu servidor, a rede do seu datacenter ou algum recurso do seu site que consuma muitos recursos por natureza, como o buscador, sistema de comentários etc.

Essa “botnet” é uma rede de computadores infectados controlados à distância que é utilizada para ataques e distribuição de conteúdos malignos. Esses computadores podem ser desde sites infectados até geladeiras e smartphones. Incrível, né?

Ao controlá-los, os hackers podem fazer um ataque DDoS que tira completamente o seu site ou, até mesmo, uma cidade inteira do ar, causando um congestionamento virtual gigantesco.

Alguns ataques DDoS são tão sofisticados que mesmo uma pequena botnet é o suficiente para causar lentidão tremenda ou deixar inacessíveis sites de grande porte.

Engane-se quem pensa que DDoS são complicados de se fazer. Hoje em dia, com o advento das empresas de DDoS-as-Service na dark web, qualquer um consegue fazer um ataque DDoS contra qualquer tipo de site com apenas alguns dólares. Imagine ser atacado pelo concorrente em plena Black Friday?

Para se proteger contra ataques DDoS, o firewall precisa primeiro "engolir" todo o tráfego. Isso é, aceitar centenas de Gbps de conexão, que, às vezes, passam de 500 Gbps. É por isso que plugins de segurança e hardwares básicos não conseguem lidar com esse tipo de ataque: um pequeno ataque DDoS já esgotaria toda a conexão e CPU/memória do seu servidor.

Muitos hosts dizem proteger o seu site contra DDoS, mas limitam essa proteção entre 1 a 10 Gbps, o que não é o suficiente nem para proteger contra os DDoS mais básicos.

Verifique, sempre, se há proteção para a rede (camada 3 e 4) e para sua aplicação/site (camada 7) e qual a capacidade máxima. A grande chance é de que essa proteção seja super limitada ou não proteja o seu site/aplicação (camada 7).

Incêndio

Todos os firewalls são iguais?

Independente do tipo, todo firewall possui a função de estabelecer permissões e fiscalizar as solicitações de conexão à rede e, por isso, torna-se indispensável em qualquer data center.

Entretanto, eles se diferenciam pela forma com a qual são instalados (como hardware ou software, por exemplo), compartilhando o objetivo de proteger a transferência dos dados e a rede como um todo. Veja:

Software Firewall

É um programa ou plugin que pode ser instalado em celulares, computadores, sites etc. É o tipo mais básico e, portanto, capaz de proteger somente contra pouquíssimos tipos de ataque, pois se limita à capacidade de processamento do celular ou do servidor.

Firewall de rede físico

É literalmente, uma máquina. De forma geral, está um pouco acima do software firewall no quesito proteção, pois ele já tem um hardware dedicado exclusivamente à função. No entanto, costuma proteger somente contra ataques de rede, deixando qualquer site/aplicação ainda vulnerável aos ataques de camada 7. É bastante comum em empresas para limitar acesso a sites proibidos, estabelecer conexões VPN e garantir uma proteção básica à rede interna da empresa.

Firewall de rede em nuvem

Geralmente, é um serviço oferecido por provedores que possuem vários firewalls de rede físicos que conseguem filtrar apenas parte do tráfego.

É um pouco mais avançado devido ao volume de servidores, a capacidade de rede etc. Muito comum que provedores de internet (ISP) e data centers contratem este tipo de serviço, devido à sua eficiência. Ainda assim, pecam em proteger aplicações/sites (camada 7).

Firewall de aplicação físico

É como um firewall de rede físico, só que mais avançado, porque contém filtros que são específicos para as aplicações, como regras voltadas para a proteção de lojas, blogs, intranets (CRM e ERP, por exemplo). Apesar de ter um hardware dedicado exclusivamente à função, dependendo do volume do ataque ou do tipo de ataque, ele ainda poderá ser sobrecarregado ou a rede totalmente saturada.

Firewall de aplicação em nuvem (Cloud WAF)

De longe, o melhor de todos os mundos. Ele é composto pela junção de softwares firewalls, firewall de redes e firewall de aplicações em um único produto. Oferece uma capacidade altíssima de processamento e rede, pois costuma ter vários data centers (pontos de presença) ao redor do mundo para mitigar ataques de forma fracionada.

Porém, o único problema é que possui custo por site, sendo uma prática comum limitar o quanto de banda você poderá consumir ou até mesmo o número de requisições HTTP/HTTPS processados. Afinal, eles precisam custear uma infraestrutura bastante robusta.

WAF

Por que utilizar um WAF baseado em nuvem (cloud WAF)?

Como vimos, existem vários tipos de firewalls. Com isso, é normal que surja uma dúvida acerca do porquê de escolher determinada opção.

O WAF baseado em nuvem, cujo modo de implantação é conhecido como “firewall de ponto final”, é, de longe, o mais fácil de se manter, já que necessita de pouca supervisão/manutenção e é configurado via DNS.

Quando comparado com os demais, é o único que atua diretamente na proteção do site de forma eficiente.

É claro que o melhor tem um preço… WAFs renomados são disponibilizados no mercado por cerca de vinte dólares por domínio. Isso mesmo: cada .com.br custa 20 dólares por mês mesmo nos planos mais em conta. Alguns WAFs podem chegar a cobrar até 50 mil dólares por ano para proteger sua aplicação.

Por isso, é tão difícil encontrá-lo incluído gratuitamente nos planos de hospedagem. Ainda assim, investimento em segurança é, sempre, uma economia a longo prazo.

A gente não pode esquecer que um ataque hacker pode não só retirar o seu site do ar inteira ou parcialmente como também roubar, compartilhar, excluir e vazar dados. Imagine perder todo o empenho, dinheiro e tempo dedicados?

Mais uma vez, precisamos ir além dos aspectos de fidelização do usuário e de credibilidade para com o público que acessa o seu site. Incidentes com dados, reitero, deve ser uma preocupação emergente em conformidade com a LGPD. As multas por descumprimento podem chegar até 50 milhões de reais, sabiam?

waf-infinite

E como a Infinite pode me ajudar?

Neste ano, a Infinite fechou uma parceria de longo prazo com a NOC.org, que é um serviço de WAF profissional muito robusto, criado pelos mesmos fundadores da Sucuri.net.

O WAF da NOC é, sem dúvidas, o nosso super-herói: fiel escudeiro nos quesitos segurança e desempenho, pois também contam com uma CDN que agiliza o tempo de carregamento dos sites por possuírem data center no Brasil.

A cerejinha do bolo não é só essa, mas o fato de que agora TODOS os planos da Infinite, desde o Névoa ao mais robusto, possuem proteção do WAF da NOC g-r-a-t-u-i-t-a-m-e-n-te. É isso mesmo: um cloud WAF profissional defendendo o seu site contra ameaças 24/7 na faixa.

Se você ainda não é cliente Infinite e chegou até aqui ao pesquisar mais sobre segurança, indicamos fortemente que contrate um WAF profissional como a NOC, Sucuri etc. Nenhum plugin de segurança, por melhor que seja, será capaz de proteger seu site/aplicação como um cloud WAF consegue.

Ademais, práticas de segurança, como frisamos sempre, vão além de recursos e funcionalidades: são uma cultura. Então, conta pra gente como você instiga isso dentro da sua empresa?

Qualquer dúvida, é só deixar nos comentários, viu?

Algumas ilustrações deste artigo foram retiradas do site Storyset.

Por Monique Soares

Apaixonada pelas palavras e pela capacidade de impactar a vida das pessoas por meio delas. Pessoa comum, mãe de gatos, leitora compulsiva e uma eterna curiosa a respeito de qualquer coisa que revolucione, ainda que minimamente, a realidade de alguém.