Suscríbete para recibir notificaciones de nuevas publicaciones:

Nuevas fuentes de información del WAF

2022-07-07

3 min de lectura
Esta publicación también está disponible en English, 繁體中文, Рyсский, Polski y 简体中文.

Aumentamos las capacidades de información de amenazas de nuestro WAF con cuatro nuevas listas de IP administradas que se pueden utilizar como parte de cualquier regla de firewall personalizada.

New WAF intelligence feeds

Cloudflare crea y mantiene listas administradas que se crean sobre la base de la información sobre amenazas recopilada mediante el análisis de patrones y tendencias observados en Internet. Los clientes Enterprise ya pueden utilizar la lista de proxies de Open SOCKS (lanzada en marzo de 2021) y hoy añadimos cuatro nuevas listas de IP: "VPN", "Botnets, Servidores de mando y control", "Malware" y "Anonimizadores".

Puedes comprobar qué reglas están disponibles en tu plan en el menú Gestionar cuenta → Configuración → Listas.

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.

Los clientes pueden hacer referencia a estas listas creando una regla de firewall personalizada o en limitación de velocidad avanzada. Por ejemplo, puedes elegir bloquear todo el tráfico generado por las direcciones IP que clasificamos como VPN, o limitar el tráfico generado por todos los anonimizadores. Puedes incorporar simplemente listas de direcciones IP administradas en el potente generador de reglas de firewall. Por supuesto, también puedes utilizar tu propia lista de direcciones IP personalizada.

Las listas de IP administradas se pueden utilizar en las reglas del WAF para gestionar el tráfico entrante procedente de estas IP.

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.

¿De dónde proceden estas fuentes?

Estas listas se basan en las fuentes de información sobre amenazas generadas por Cloudflare, que están disponibles como listas de IP que usa el WAF de manera muy sencilla. Cada IP se clasifica combinando datos de código abierto, así como analizando el comportamiento de cada IP aprovechando la escala y el alcance de la red de Cloudflare. Después de incluir una dirección IP en una de estas fuentes, verificamos su clasificación y volvemos a introducir esta información en nuestros sistemas de seguridad y la ponemos a disposición de nuestros clientes en forma de lista de direcciones IP administradas. El contenido de cada lista se actualiza varias veces al día.

Además de generar clasificaciones de direcciones IP basadas en los datos internos de Cloudflare, seleccionamos y combinamos varias fuentes de datos que creemos que proporcionan una cobertura fiable de las amenazas de seguridad activas con una baja tasa de falsos positivos. En el entorno actual, una dirección IP perteneciente a un proveedor de nube podría estar hoy distribuyendo malware, pero mañana podría ser un recurso crítico para tu empresa.

Algunas clasificaciones de direcciones IP están disponibles públicamente, los datos OSINT, por ejemplo los nodos de salida de Tor, y Cloudflare se encarga de integrarlas en nuestra lista de anonimizadores para que no tengas que gestionar la integración de esta lista en cada activo de tu red. Otras clasificaciones se determinan o investigan mediante diversas técnicas de DNS, como la búsqueda, la búsqueda de registros PTR y la comprobación de DNS pasivo desde la red de Cloudflare.

Nuestras listas, que se centran en el malware y el mando y control, se generan a partir de asociaciones seleccionadas. Un tipo de dirección IP al que nos dirigimos cuando seleccionamos socios son las fuentes de datos que identifican las amenazas a la seguridad que no tienen registros DNS asociados.

Nuestra lista de anonimizadores abarca varios tipos de servicios que realizan la anonimización, como las VPN, los proxies abiertos y los nodos Tor. Es un supraconjunto de la lista de VPN más focalizada (nodos VPN comerciales conocidos), y de la lista de proxies abiertos de Cloudflare (proxies que retransmiten el tráfico sin requerir autenticación).

En las anotaciones de direcciones IP del panel de control

Utilizar estas listas para implementar una política de seguridad preventiva para estas direcciones IP es genial, pero ¿qué te parecería saber si una dirección IP que está interactuando con tu sitio web o aplicación forma parte de una botnet o una VPN? Primero anunciamos la información contextual para los anonimizadores en el marco de la Semana de la seguridad 2022, pero ahora cerramos el círculo ampliando esta función para cubrir todas las listas nuevas.

Como parte de la información sobre amenazas de Cloudflare, presentamos la categoría de IP directamente en el panel de control. Digamos que estás investigando solicitudes que bloqueó el WAF y que parecían estar explorando tu aplicación en busca de vulnerabilidades de software conocidas. Si la dirección IP de origen de estas solicitudes coincide con una de nuestras fuentes (por ejemplo, parte de una VPN), la información contextual aparecerá directamente en la página de análisis.

Cuando la dirección IP de origen de un evento del WAF coincide con una de las fuentes de amenazas, proporcionamos información contextual directamente en el panel de control de Cloudflare.

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.

Esta información puede ayudarte a ver patrones y a decidir si necesitas utilizar las listas administradas para gestionar el tráfico de estas direcciones IP de una manera concreta, por ejemplo, creando una regla de limitación de velocidad que reduzca la cantidad de solicitudes que estos ciberdelincuentes pueden realizar durante un periodo de tiempo.

¿Quién puede beneficiarse?

La siguiente tabla resume qué planes tienen acceso a cada una de estas funciones. Todos los planes de pago tendrán acceso a la información contextual en el panel de control, pero los clientes del plan Enterprise podrán utilizar diferentes listas administradas. Las listas administradas solo se pueden utilizar en las zonas Enterprise dentro de una cuenta Enterprise.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tfgg{background-color:#EFEFEF;color:#F00;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-gpin{background-color:#C9DAF8;text-align:left;vertical-align:top} .tg .tg-ekg0{background-color:#EFEFEF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-5ll9{background-color:#EFEFEF;color:#009901;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-m0cw{background-color:#C9DAF8;font-weight:bold;text-align:center;vertical-align:top}

FREE PRO BIZ ENT with WAF Essential ENT with WAF Advanced *
Annotations x
Open Proxies x x x
Anonymizers x x x x
VPNs x x x x
Botnets, command and control x x x x
Malware x x x x

GRATUITO

PRO

BIZ

ENT

ENT AVANZADO *

Anotaciones

x

Proxies abiertos

x

x

x

Anonimizadores

x

x

x

x

VPN

x

x

x

x

Botnet, mando y control

x

x

x

x

Malware

x

x

x

x

* Ponte en contacto con tu gerente de Customer Success si deseas obtener más información.

Próximas versiones

Estamos trabajando para enriquecer aún más nuestras fuentes de amenazas. En los próximos meses vamos a proporcionar más listas de IP, concretamente estamos estudiando listas para proveedores de nube y para GC-NAT (Carrier-grade Network Address Translation).

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Noticias de productosWAFThreat IntelligenceVPNBotnet (ES)

Síguenos en X

Cloudflare|@cloudflare

Publicaciones relacionadas

27 de septiembre de 2024, 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

26 de septiembre de 2024, 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...

26 de septiembre de 2024, 13:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....

25 de septiembre de 2024, 13:00

Introducing Speed Brain: helping web pages load 45% faster

We are excited to announce the latest leap forward in speed – Speed Brain. Speed Brain uses the Speculation Rules API to prefetch content for the user's likely next navigations. The goal is to download a web page to the browser before a user navigates to it, allowing pages to load instantly. ...