Confronto tra WAF e IPS / IDS

0

Mi piacerebbe sapere la differenza tra WAF e IPS / IDS? IPS / IDS può gestire un attacco su un'applicazione Web? Se ci sono differenze funzionali tra le due applicazioni, come funzionano insieme quando c'è un attacco?

    
posta Fanar AL HAYALI 11.07.2018 - 10:28
fonte

1 risposta

2

Come dice @schroeder, la differenza più grande è dove si siedono nello stack. Parliamo di questa differenza.

Il Web Application Firewall funziona a livello di applicazione. Ciò implica che si tratta del flusso di dati, non del flusso di rete, dopo che è stato ricevuto dall'host. Di conseguenza, viene solitamente applicato dopo la decrittografia *, quindi ha pieno accesso alla richiesta e all'intestazione e al corpo della risposta. E generalmente ci si può aspettare che un WAF si concentri su firme specifiche per l'applicazione, più che su un IDS / IPS. Anche WAF ha maggiori probabilità di esaminare aspetti come la convalida del formato JSON o XML; cercare cose che non sono corrette invece di cercare solo cose sbagliate .

L'IDS / IPS, d'altra parte, opera a livello di rete. Sebbene la decrittografia sia possibile in alcune configurazioni, non è scontato, come avviene con un WAF, e se non c'è decrittografia, l'IDS / IPS potrebbe essere in gran parte cieco agli attacchi delle applicazioni Web. L'IDS / IPS è in grado di analizzare tutti i livelli della rete, permettendogli di cercare cose come gli attacchi di frammentazione che un WAF non vedrà mai. E poiché ci si aspetta che l'IDS / IPS guardi tutto il traffico, non si limita ai protocolli delle applicazioni Web, ma ha uno spettro di firme molto più ampio. Per estensione, potrebbe non avere un insieme dettagliato di firme di applicazioni Web come WAF.

Le due tecnologie sono insiemi intersecanti: in un attacco, un certo traffico attiverà sia il WAF che l'IDS / IPS; alcuni attivano solo il WAF; alcuni attivano solo IDS / IPS. (E alcuni sorvoleranno entrambi con i colori volanti - chi dice che non c'è una corsa facile?)

* A volte il WAF si trova sul server delle applicazioni effettivo; a volte è un dispositivo man-in-the-middle. In entrambi i casi, decodificherà prima dell'analisi e successivamente riedificherà se ha ancora un salto per arrivare alla casella.

    
risposta data 11.07.2018 - 14:23
fonte

Leggi altre domande sui tag