Productos

Presentación rWeb sProxy rFTP Appliances Tecnología Scoring List UBT Open Architecture

Noticias

Thanks to Client Sanitization, banks can strengthen the security of online payments

Deny All confirm his leadership and vision with rWeb 4.0, the next generation firewall

V. Rasneur ha ganado el concurso de desarrollo organizado por Hex-Radios.

During itsa our team participated to roundtables about Vulnerability of Web Applications

Contactos

Deny All
23, rue Notre Dame des Victoires
75002 Paris
FRANCE
Tel: +33 (0)1 40 07 47 14
Fax: + 33 (0) 1 40 07 47 27

Tecnología

Seguridad de Aplicaciones Web

La innovadora tecnología desarrollada por los expertos en seguridad de Deny All permite gestionar todos los problemas de seguridad de aplicaciones Web.

Comprobaciones protocolarias y canonización

Algunos ataques se realizan utilizando el protocolo http de manera inadecuada. La comprobación protocolaria permite garantizar que las peticiones recibidas son con arreglo al protocolo. La canonización permite protegerse frente a ataques que permiten el acceso a recursos que no deberían ser accesibles, como el Directorio transversal.

Antievasión

Los hackers codifican muy a menudo sus ataques para ir más allá de los medios de filtración aplicativa. Por eso, es vital poder decodificar las peticiones antes de filtrarlas. rWeb realiza dicha decodificación de manera impecable y configurable.

Anti DoS

Existen determinadas páginas que, al solicitarlas, consumen una gran cantidad de recursos de los servidores (aplicativos o de bases de datos). El módulo de análisis de comportamientos permite dar respuesta a esta problemática asociando el origen de la petición y el número de solicitudes. Más allá de un determinado umbral, se bloquean las peticiones procedentes de ese origen.

La Black List

Todos los días se descubren nuevas vulnerabilidades en las aplicaciones WEB.
Dichas vulnerabilidades se catalogan en el seno de la black list en forma de firmas.
Si una petición es similar a una de dichas firmas, se rechaza.
La seguridad no debe realizarse a costa de la experiencia usuario. Por eso, Deny All ha elaborado una blacklist con grupos que permite evaluar la petición en función de determinadas condiciones, evitando así el consumo de recursos inútilmente.
Deny All dispone de su propia célula de supervisión: el « DARC » (DenyAll Research Center) cuya misión consiste en enriquecer y actualizar la black list.
La implantación de la black list es instantánea y no se necesita aprendizaje alguno.

La Scoring List

Un buen número de ataques se basan en los lenguajes de programación o de comandos. Dichos ataques poseen una estructura variable y su detección no puede realizarse de manera eficaz con una black list.
Para dar respuesta a este problema, Deny All ha creado la Scoring List, fruto de 10 años de experiencia y de investigación en el campo de la filtración aplicativa.
La implantación de la Scoring List es instantánea y no se necesita aprendizaje alguno.

La White List

La White List permite reforzar el nivel de protección describiendo el marco normal de utilización de la aplicación WEB. Valida la integridad de los intercambios entre el cliente y el servidor, comprueba la conformidad de las peticiones a páginas estáticas y dinámicas así como de los parámetros.
rWeb permite definir tres niveles de White List. Dichos niveles corresponden a un ratio “nivel de seguridad/complejidad de administración” en una escala que va del nivel más estricto, donde se controlarán todos los elementos de la petición, hasta un nivel de “extensión” que se limita a comprobar la extensión de las páginas solicitadas.
Las normas de la White List adaptadas a cada una de las aplicaciones se gestionan automáticamente por medio de Scanweb, un escáner de sitos, y de “Rules Wizard”:
Scanweb estructura el conjunto de posibilidades de uso de la aplicación, incluyendo las aplicaciones referidas a Javascript, mientras que Rules Wizard genera automáticamente las normas de filtración.

Statefull tracking

Las aplicaciones Web transmiten información de “sesión” a los navegantes para garantizar la constancia de los datos a lo largo de toda la conexión. Se puede tratar de cookies o de datos “ocultos” en la página Web.
Determinados ataques consisten en modificar dichos datos para alterar el funcionamiento de la aplicación.
rWeb utiliza un mecanismo de seguimiento y de verificación que permite detectar y bloquear este tipo de amenazas.

Anti brute force

Los hackers utilizan herramientas de fácil implantación para realizar tentativas de autenticación automatizadas. Estas herramientas emplean diccionarios o generadores de cadenas de caracteres para “adivinar” la contraseña del usuario.
El módulo de análisis de comportamientos permite detectar este tipo de tentativas y bloquear las peticiones del atacante.

El Control de los archivos cargados

Determinadas aplicaciones pueden solicitar al usuario que cargue archivos.
En ese caso, puede realizarse un control antiviral (in situ o por medio de ICAO) antes de transmitir el archivo a la aplicación WEB.

Outgoing filtering

Las aplicaciones pueden divulgar en sus páginas errores de información sensibles que no deberían ser accesibles a los usuarios. Dicha información puede, por ejemplo, permitir a los hackers tener en cuenta esos sitios para determinar el perímetro de ataque.
Por otro lado, es muy importante poder evitar las fugas de información sensible como por ejemplo, las numeraciones de las tarjetas de crédito (PCI-DSS). El filtrado saliente permite dar respuesta a estos problemas.

Virtual Patching

Las auditorías de seguridad de las aplicaciones WEB pueden actualizar las vulnerabilidades de las aplicaciones que, en determinados casos, no pueden subsanarse con los módulos de seguridad positiva o negativa, como las vulnerabilidades de escalada horizontal.
El módulo de análisis de comportamientos permite realizar un parche virtual para solucionar esa vulnerabilidad de inmediato por encima de la transferencia proxy. Esto permite corregir el fallo de inmediato y proporciona a los equipos de desarrollo el tiempo necesario para corregir la vulnerabilidad en profundidad sobre la aplicación.

Rendimientos Aplicativos

“La seguridad no debe realizarse a costa de la experiencia usuario.”

Cache

rWeb ofrece funcionalidades de ocultación para los componentes estadísticos de páginas Web (imágenes, texto fijo, etc.). Los recursos de los servidores se liberan así para aquellas operaciones que requieran los tratamientos más importantes.

SSL release

Los servidores Web descargan el tratamiento SSL más exigente en términos de recursos CPU.

TCP multiplexing

El TCP multiplexing permite reducir el número de conexiones que un servidor Web debe gestionar así como disminuir el consumo de recursos ligados al tratamiento de entradas/salidas.

Compresión

La compresión sobre la marcha permite reducir el tamaño de las páginas reenviadas. Por consiguiente, permite un ahorro de ancho de banda y disminuye las tasas de transferencia.

Load Balancing

Para dar respuesta a los requisitos de tráfico elevado y para hacer frente a una demanda creciente del número de usuarios, es muy importante disponer de una infraestructura evolutiva. La funcionalidad Load Balancing permite dar respuesta a esas expectativas aportando, igualmente, un gran valor añadido en términos de disponibilidad de servicios.
En efecto, se realiza un chequeo de los servidores para mantener una lista permanente de los servidores disponibles. Este chequeo puede realizarse hasta el nivel 7 (lectura de un elemento predeterminado en una página).
El SLB (Serveur Load Balancing) reparte el tráfico siguiendo distintos algoritmos (round-robin, número de peticiones o ponderación en función del tiempo de respuesta de los servidores) e implanta un mecanismo de persistencia que garantiza el mantenimiento de una sesión sobre un único servidor.

Seguridad de la Infraestructura

“Un cortafuegos de aplicaciones también permite mejorar el nivel de seguridad de la infraestructura”

Reverse Proxy

La tecnología “Reverse Proxy” mejora el nivel de protección ofreciendo una ruptura protocolaria y visualizando la infraestructura aplicativa. Una vez que la totalidad de los flujos Web se haya filtrado y analizado, éstos podrán reenviarse a cualquier punto de la infraestructura de manera segura.

Multi DMZ

El modo “Multi DMZ” permite mejorar el nivel de protección de la infraestructura al implantar los dos componentes de rWeb en dos DMZ distintas. La aceleración se realiza en DMZ pública y la filtración + autenticación se realiza en DMZ privada. Dicha segmentación permite unir las aplicaciones WEB y las bases de datos del núcleo del sistema de información así como explotar las aplicaciones WEB y las bases de datos de manera menos parcial.

Modo diodo

En lugar de transferir las peticiones de la DMZ pública a la DMZ privada, el componente filtrante que se encuentra en DMZ privada buscará las peticiones en DMZ pública. Esto permite no tener ninguna regla de cortafuegos que autorice las conexiones de la DMZ pública con la DMZ privada, dejando a ésta última totalmente “estanca” por lo que respecta a la DMZ pública.

Alta disponibilidad

Nuestras soluciones Dispositivos implantan mecanismos de alta disponibilidad que permiten dar continuidad de servicio incluso en situaciones de avería de un equipamiento.