Ho sentito parlare sia di Web Application Firewalls (WAF) che di Intrusion Prevention Systems (IPS). Quale è meglio prevenire un attacco DDoS (Distributed Denial of Service) e perché?
Ho sentito parlare sia di Web Application Firewalls (WAF) che di Intrusion Prevention Systems (IPS). Quale è meglio prevenire un attacco DDoS (Distributed Denial of Service) e perché?
Nessuna di queste tecnologie può impedire un attacco DDoS, ciò che possono fare è aiutare a prevenire un attacco DDoS dall'abbattimento dei servizi. Hanno funzioni completamente diverse, quindi non puoi dire che uno è meglio è meglio dell'altro.
Un sistema di prevenzione delle intrusioni cerca traffico anomalo su una rete e può avvisare il personale operativo che un attacco DoS è in corso e in alcuni casi potrebbe essere in grado di bloccare parte del traffico. Il vantaggio principale qui è la capacità di avviso, tuttavia, notificare le operazioni alle persone in modo che possano agire e mantenere i servizi attivi.
Un firewall di applicazione Web, se configurato correttamente, filtra il traffico DDoS prima che travolga le applicazioni dietro di esso.
In realtà, a meno che l'attacco DDoS sia piuttosto di basso livello, nessuno dei due sarà di grande aiuto, poiché un potente attacco DDoS travolgerà entrambi. La protezione DDoS più efficace si trova sul perimetro della rete, utilizzando il filtro del traffico e la limitazione della velocità sui dispositivi di rete del bordo. Aiuta anche ad avere un piano in atto per contattare l'ISP a monte e chiedere il loro aiuto nel filtrare il traffico DDoS.
Quindi per prima cosa guardiamo questi due. I firewall di applicazioni Web, come suggerisce il nome, funzionano quasi esclusivamente con le applicazioni Web. La maggior parte dei WAF spesso non sono i migliori firewall tradizionali e non devono essere implementati al posto di un firewall di rete tradizionale. Le tipiche distribuzioni WAF prevedono la decrittazione SSL del traffico delle applicazioni Web e il blocco delle minacce basate sul Web dopo che WAF ha riassemblato ogni sessione Web. Questo è possibile perché WAF funziona a livello di applicazione in cui vivono HTML, XML, cookie, Javascript, ActiveX, richieste client e risposte server.
I sistemi di prevenzione delle intrusioni, come suggerisce il nome, ispezionano i pacchetti nel tentativo di prevenire gli attacchi e quindi le intrusioni. IPS, che si è evoluto da Intrusion Detection Systems, sono sistemi di ispezione dei pacchetti che analizzano il traffico per le firme o le violazioni delle policy. In genere questi dispositivi multifunzione non decodificano il traffico crittografato, ma applicano una policy o un set di firme predefinito su tutto il traffico di rete presentato all'IPS.
Poiché i pacchetti vengono controllati da un IPS, vengono spesso scartati per migliorare le prestazioni. Questo è un elemento chiave di differenziazione, poiché un WAF deve conservare i pacchetti al fine di mantenere il contesto di una richiesta Web del client e la successiva risposta del server. Quindi potresti dire che l'IPS ha a che fare con i pacchetti, mentre il lavoro di WAF all'interno delle sessioni.
I WAF devono comprendere non solo il comportamento del protocollo, come HTTP GET, POST, HEAD, ecc., ma anche JavaScript, SQL, HTML, XML, cookie, ecc. Questa logica del livello applicativo è fondamentale per il funzionamento di un WAF ma non richiesto per funzionalità IPS e quindi non tipicamente implementato su un IPS.
Il Baselining è disponibile su IPS e WAF, ma la somiglianza si interrompe con il nome. Il baselining dell'IPS consiste in deviazioni statistiche nel throughput e nei flussi di traffico. Il baselining WAF comprende la mappatura URL, Parametro, Metodo HTTP, Sessione e Cookie. Un WAF non conosce il concetto di utilizzo della larghezza di banda per il baselining, solo un IPS non sa se un determinato URL dovrebbe accettare POST o GET HTTP.
Le distribuzioni WAF si concentrano su applicazioni Web e traffico di applicazioni Web, mentre le distribuzioni IPS vengono generalmente eseguite a livello di rete controllando tutti i pacchetti. Ti garantisco che ci sono protezioni basate su host che sfocano le linee di IPS e WAF, ma queste non si qualificano come IPS o WAF e probabilmente non vivranno in grandi data center multi-OS o implementate attraverso i livelli di le tue applicazioni a più livelli.
Queste sono tecnologie complementari, proprio come i tradizionali firewall e IPS si completano l'un l'altro. Brute Force Protection è una funzione impostata, ma in alcuni casi un attacco DDoS dovrebbe o dovrei dire "potrebbe" essere mitigato al livello 7.
Tuttavia, l'overhead associato alle sessioni Web di ispezione e all'elaborazione del volume di eventi risultante è sufficiente per tassare la maggior parte dell'hardware WAF dedicato, ma per implementare la stessa quantità di carico di lavoro su un IPS che deve lavorare a velocità wire-speed , proteggere TUTTO il traffico di rete, è probabile che degradi le prestazioni IPS e comprometta la protezione della sicurezza. Non è proprio il metodo migliore o dovrebbe essere la nostra prima linea di difesa quando si guarda a un possibile DDoS che potrebbe portare l'intera rete verso il basso o al massimo su Edge Net.