Web Application

Firewall Pack

(AFP) Overview

de las aplicaciones

web escaneadas en

2013 reportaron

serias

vulnerabilidades

96%

El SQL injection y Cross-Site Scripting

sumaron mas de un 80% de las vulnerabilidades

Los ataques Web son mas avanzados que nunca

145,386,473URLs únicas, fueron reconocidas como

maliciosas en Q2, 2014

Vulnerabilidades de Seguridad reportadas

(2013)

514

373

344

336

190

188

161

146

131

112

Oracle

Cisco

Micro…

IBM

Apple

Google

Mozilla

Adobe

Redhat

HP

Incremento de la complejidad del ataque

Características de un ataque

Hacker de hoy en día

Cambio frecuente de los vectores utilizados

Características de un ataque

Hacker de hoy en día

Incremento de la complejidad del ataque

Centrados en las vulnerabilidades de la aplicación

Características de un ataque

Hacker de hoy en día

Cambio frecuente de los vectores utilizados

Incremento de la complejidad del ataque

Alta dificultad de detección y bloqueo para

un firewall tradicional

Characteristics of Modern-Day

Hacker Attacks

Incremento de la complejidad del ataque

Cambio frecuente de los vectores utilizados

Centrados en las vulnerabilidades de la aplicación

Limitaciones de un Firewall tradicional

Genera vectores de ataque

sin conocimiento

Habitualmente trabaja

debajo de la capa 4

Limitaciones de un Firewall tradicional

Genera vectores de ataque

sin conocimiento

Limitaciones de un Firewall tradicional

Genera vectores de ataque

sin conocimiento

Habitualmente trabaja

debajo de la capa 4

Soporte de inspección de

protocolos bajo (ej. packet

filtering)

Soporte de inspección de

protocolos bajo (ej. packet

filtering)

Solamente al tanto de

los puertos de red

Limitaciones de un Firewall tradicional

Genera vectores de ataque

sin conocimiento

Habitualmente trabaja

debajo de la capa 4

Es capaz de procesar flujos de trafico web incluso cuando está encriptado

Beneficios de un Web Application Firewall

(WAF)

Es capaz de procesar flujos de trafico web incluso cuando está encriptado

Es capaz de detectar ataques centrados en aplicaciones (XSS, CSRF, Injection, etc.)

Beneficios de un Web Application Firewall

(WAF)

Es capaz de procesar flujos de trafico web incluso cuando está encriptado

Es capaz de detectar ataques centrados en aplicaciones (XSS, CSRF, Injection, etc.)

Beneficios de un Web Application Firewall

(WAF)

Trabaja en conjunto con el marco de seguridad existente

Es capaz de procesar flujos de trafico web incluso cuando está encriptado

Es capaz de detectar ataques centrados en aplicaciones (XSS, CSRF, Injection, etc.)

Ayuda a las organizaciones a satisfacer los requisitos de cumplimiento

de PCI - DSS

Beneficios de un Web Application Firewall

(WAF)

Trabaja en conjunto con el marco de seguridad existente

Es capaz de procesar flujos de trafico web incluso cuando está encriptado

Es capaz de detectar ataques centrados en aplicaciones (XSS, CSRF, Injection, etc.)

Ayuda a las organizaciones a satisfacer los requisitos de cumplimiento

de PCI - DSS

Es compatible con una actitud que busca seguridad en profundidad.

Beneficios de un Web Application Firewall

(WAF)

Trabaja en conjunto con el marco de seguridad existente

Firewall y WAF Trabajando juntos

Application

Servers

WAF Enabled

Loadmaster

Network

Firewall

Non HTTP/

HTTPS Attack

Legitimate

Use

HTTP/

HTTPS Attack

Firewall y WAF trabajando juntos

Application

Servers

WAF Enabled

Loadmaster

Network

Firewall

Non HTTP/

HTTPS Attack

Legitimate

Use

HTTP/

HTTPS Attack

Application

Servers

WAF Enabled

Loadmaster

Network

Firewall

Non HTTP/

HTTPS Attack

Legitimate

Use

HTTP/

HTTPS Attack

Firewall y WAF trabajando juntos

Application

Servers

WAF Enabled

Loadmaster

Network

Firewall

Non HTTP/

HTTPS Attack

Legitimate

Use

HTTP/

HTTPS Attack

Firewall y WAF trabajando juntos

Inspect

Inbound

Application

Servers

WAF Enabled

Loadmaster

INBOUNDOWASP top 10

X-ScriptingCookie checkCustom Rules

OUTBOUNDData loss protectionCustom patternsCredit cardSocial security

Inspect

Outbound

Clients

Firewall y WAF trabajando juntos

Servicios de Seguridad Integral

LoadMaster proporciona

capacidades integradas de

seguridad , incluida la

protección Web Application

Firewall ( WAF) , seguridad

perimetral , L7 IPS / IDS ,

Mitigación DDoS , la

publicación de aplicaciones y

servicios de autenticación

como características estándar

en todas las plataformas,

incluyendo dispositivos de

hardware .

DDoS Mitigation

Servicios de Seguridad Integral

IDS/IPS

Edge Security Services

Web Application Firewall

Las capacidades DDoS de mitigación nativa del

LoadMaster protegen infraestructuras de

aplicaciones de ataques sobre la disponibilidad de

los servicios desplegados

LoadMaster puede escanear e informar

pasivamente sobre intentos de intrusión, así

como activamente analizar y reaccionar ante las

amenazas en el punto de entrada.

El Edge Security Pack (ESP) de KEMP refuerza

la verificación de la identificación para accesos a

aplicaciones y servicios protegidos y sus

estandares incluidos en TODOS los

LoadMasters

El AFP mitiga las vulnerabilidades de la

seguridad de las aplicaciones, contribuyendo a

una buena estrategia de seguridad

DDoS capacidades de mitigación nativa ayuda de LoadMaster protege infraestructuras de aplicaciones de ataques sobre la disponibilidad de los servicios desplegados

Facilidad de Uso e Implementación

Con el foco de Kemp en la

simplicidad y el ahorro de tiempo

en el despliegue de aplicaciones,

LoadMaster con Application

Firewall Pack ( AFP ) permite una

solución de balanceo de carga

totalmente integrada de manera

segura, escalable y siempre

disponible.

Disponibilidad Standard

El motor del AFP de KEMP se incluye como

funcionalidad integrada en la mayoría de los

productos de KEMP con necesidad de pago por

la suscripción periódica por la descarga de reglas

Sencillo

Un interfaz de usuario de uso sencillo basado en

web, con plantillas de aplicaciones con

documentación completa y todo incluido para

simplificar las implementaciones básicas

Configuración Remota

Los servicios de configuración remota de KEMP

(RCS) hacen mas sencillo a los clientes con

complejas implementaciones la rápida

instalación y puesta en marcha con la ayuda de

un ingeniero cualificado de KEMP.

Facilidad de Uso e Implementación

Compatibilidad PCI-DSS

La protección de aplicaciones

web es de vital importancia para

todas las organizaciones ,

especialmente aquellas que

procesan pagos. Con el fin de

ayudar a los clientes con

requisitos de PCI -DSS , AFP

reduce la necesidad de

revisiones de código extensas

utilizando un conjunto de reglas

que son regularmente y

automáticamente actualizadas.

Seccion 6.6: Audite y corrija las

vulnerabilidades del código de

aplicaciones o instale un firewall de

aplicaciones

El LoadMaster con AFP proporciona una superposición de

aplicaciones para aprovechar sesiones TLS (SSL) con el

objetivo de mejorar el entorno de seguridad incluso cuando

no es nativamente soportado.

Seccion 1.2: Denegación de tráfico de

redes y hosts no seguros.

Las características de seguridad integradas de LoadMaster

con AFP limita el acceso a únicamente a entidades

permitidas que usen los protocolos que se dicten como

permisibles

Seccion 3.3: Ocultar números de

cuentas cuando son reflejados

El AFP puede ser configurado para prevenir el robo de

información sensible PII (Información Personal Identificable) tan

a menudo explotada por una variedad de aplicaciones.

Seccion 3.5: Proteja las calves de

encriptación contra divulgación y mal

uso

Soportando FIPS 140-2 Level 2 compliance, el LoadMaster

5305-FIPS, protege claves de encriptación mientras

proporciona protección firewall.

Seccion 4.1: Utilice fuertes protocolos

de criptografía y seguridad

El LoadMaster con AFP proporciona una superposición de

aplicaciones para aprovechar sesiones TLS (SSL) con el

objetivo de mejorar el entorno de seguridad incluso cuando no

es nativamente soportado

Compatibilidad PCI-DSS

LoadMaster with AFP Security Services

Application Delivery

• Layer 4/7 Load Balancing

• Intrusion Prevention Services

• SNORT Rule Compatible

• TLS (SSL) Acceleration/Offload

• Caching, compression Engine

Custom App Rules

Rule Chaining

Application Profiling

Access Control

• LDAP / RADIUS / Multi-Factor

Authentication

• Granular access control

• Logging / Reporting

• Event logging

• Redundancy and Availability

• Active/Standby Configuration

Traffic Inspection

• OWASP Top 10

• HTTP/HTTPS Filtering

• Active or Passive Mode of

operation

• Cross-site scripting protection

• SQL Injection Protection

• IP Reputation Protection

• Cookie tampering protection

Logging &

Monitoring

Logging &

Monitoring

Application

Servers

KEMP AFP Service Workflow

L7 Parser

Caching &

CompressionESP AFPIPS

Ventajas competitivas

SEGURIDAD

Edge Security Services, IPS/IDS y DDoS

mitigation son incluidos como estándar en todos

los LoadMaster apoyando una avanzada

estrategia de seguridad en la empresa.

DESARROLLO

Edge Security Services, IPS/IDS y DDoS

mitigation son incluidos como estándar en todos

los LoadMaster apoyando una avanzada

estrategia de seguridad en la empresa.

VALOR

KEMP lidera el mercado de ADC en términos de

valor / prestaciones, proporcionando tecnologías de

clase empresarial a una fracción del costo de la

competencia permitiendo a los clientes a reducir el

coste total de propiedad , así como permitir nuevas

líneas de negocio.

SOPORTE

Soporte Básico 10x5 Basic incluido en todos los

productos LoadMaster lo cual ofrece a los

clientes acceso a los recurso de soporte incluso

en el proceso de prueba. Este soporte está

también disponible con la adquisición de AFP.

KEMP lidera el mercado de ADC en términos de valor - para - características , proporcionando tecnologías de clase empresarial a una fracción del costo de la competencia permitiendo a los clientes a reducir el coste total de propiedad , así como permitir

NETWORK

FIREWALL

• En el extremo de la red

• Controla trafico basado en la

fuente, destino y protocolo.

• El cliente define las normas

WAF

• Se sitúa entre el firewall y los

servidores

• Analiza el tráfico HTTP con

comportamiento maligno

• El cliente define las normas y

además:

• Actualización diaria de las

principales amenazas

KEMP AFP vs. Network Firewall

AFP no es unNetwork

Firewall; es un WAF

El mejor sitio para

instalar WAF es en el punto

de desencriptación (ej.

LB/ADC)

El AFP usa el reconocido

motor ModSecurity WAF

con normas Trustwave

KEMP AFP resumen de prestaciones

Active (block and

log) Mode

Operation

Support

Built-In Logging

Cookie and Form

Tampering

Prevention

Cross-Site

Scripting (XSS)

Mitigation

Cross-Site

Request Forgery

(CSRF) Blocking

Daily Rule

Updates

Data Leak

Prevention

Encryption

Stream

Interception

IP Reputation

Checking

Full ADC

Integration

OWASP Top Ten

Protection

Passive (log only)

Mode Operation

Support

Packaged and

Custom

Application

Support

Support for PCI-

DSS ComplianceTrojan Protection

AFP Guía de configuraciónhttp://kemptechnologies.com/files/assets/documentation/web-application-

firewall/Feature_Description-

Application_Firewall_Pack_Custom_Rules.pdf

AFP Guía de normas propiashttp://kemptechnologies.com/files/assets/documentation/web-application-

firewall/Feature_Description-Application_Firewall_Pack.pdf

KEMP Help Centerhttps://support.kemptechnologies.com/hc/communities/public/topics

Resumen de la Soluciónhttp://kemptechnologies.com/files/assets/data-sheets/KEMP-WAF.pdf