El presente documento habla sobre los Cortafuegos de Aplicaciones Web o Web
Application Firewall (WAF), así como de la importancia de aplicarlos en las empresas,
y de obtener de manera precisa las reglas de detección a las amenazas que acechan a
las empresas.
Actualmente, un tema en boca de todos es la seguridad informática y la seguridad de
la información. ¿Para qué sirve? ¿En dónde se aplican y que se tiene que hacer para
decir que una empresa se encuentra segura?
La seguridad informática y seguridad de la información son dos áreas
muy distintas, pero con un objetivo en común: proporcionar confiabilidad a los datos
sensibles manejados por una organización.
La seguridad de la información es aquella disciplina basada en los principios de
integridad, disponibilidad y confidencialidad, es decir que la información no se pierda
y sea legible a las personas correctas o autorizadas. En otras palabras, sólo las personas
con la autorización tienen acceso al uso de la información.
Este trabajo defiende el uso de los cortafuegos de aplicaciones en las empresas y la
mejora que éstas pueden tener al atacar las amenazas más comunes establecidas en el
top 10 de amenazas lanzado por el Proyecto Abierto de Seguridad en Aplicaciones Web
u Open Web Application Security Project (OWASP en inglés), este organismo permite
compartir información y herramientas para incrementar la seguridad web en las
empresas.
Como se ha comentado anteriormente los Cortafuegos de Aplicaciones Web o WAF
son importantes para la prevención de ataques a las aplicaciones web existentes, sin
importar como estén realizadas. En el capítulo 3 se profundizará más acerca sobre los
cortafuegos de aplicación, creación de reglas para la detección de amenazas de
seguridad informática y las técnicas empleadas para crear reglas acordes a las
necesidades de las empresas gubernamentales, en este caso INEGI.
En el capítulo 4 se muestra a detalle la metodología realizada para la creación de reglas
de detección de amenazas, mediante el insumo obtenido del laboratorio de pentesting.
Las cuáles serán implementadas por el Grupo de Ingeniería en Sistemas o GIS del
INEGI. Estas son el producto de la herramienta desarrollada durante la investigación y
son visualizadas como un reporte que facilita al GIS auditar mejor las reglas.
This document tells about Web Application Firewall o WAF, also the importancy about
to implement inside in company’s and obtain rules of identification more exact to
identify threats that attack to the company.
The informatic security and information security are a topic that a lot people speaking.
¿What is the focus? ¿Where can I use and how to do for saying an enterprise is healthy?
The information security and informatic security are two areas so different, but with a
focus in common: bring reliability in sensitive data that a company can exploit.
The information security is a discipline based on integrity, availability and reliability,
with these principles the information is difficult to lost because the information is
comprehensible for right people, in other words, people authorize logging to the
information.
This work advocates the web application firewalls used in the enterprises and the
performance defending for threats so typical for the vulnerabilities top 10 of the Open
Web Application Security Project (OWASP), this organism allowed to share
information and tools to increment the web security in company’s
A Web Application Web (WAF) are very valuable to prevent attacks over web
applications in use for they it’s not important how is realized. In the chapter 3, you can
know more about firewalls, how to create rules for detecting informatic security’s
threats and techniques employees for building rules according to the necessities of
governmental company’s, in this case INEGI.
The chapter 4 tells about the methodology realized to create the threats detection rules,
through the information recollected at pentesting laboratory. These rules are
implemented for the Systems Engineering Group of INEGI. These are the result of the
tools developed during the research and are they are showed how a report that help the
group to audit better the rules.
