บรรจวบ เข้าสู่ระบบ
Score:1
avatar Server

การเพิ่ม WAF (Web Application Firewall) ด้วย IPS (Intrusion Prevention System) เหมาะสมหรือไม่?

ธง cn
silent

สถานการณ์ต่อไปนี้:

  • เว็บแอปพลิเคชัน ทราฟฟิก HTTP/S เท่านั้น
  • มีไฟร์วอลล์เพื่ออนุญาตทราฟฟิกบนพอร์ต 80/443 นิ้วเท่านั้น
  • มี WAF ตั้งค่าให้ปฏิเสธทราฟฟิกที่เป็นอันตราย

คำถาม: ในสถานการณ์นี้มีมูลค่าเพิ่มใดๆ ที่จะมีโซลูชัน IPS / Deep Package Inspection ด้วยหรือไม่ จากทั้งหมดที่ฉันเข้าใจ: ไม่ แต่ฉันไม่พบคำตอบที่ชัดเจน

91
0 + 0
Ron Trunk avatar
in flag
Ron Trunk
คำถามที่สร้างความคิดเห็นส่วนใหญ่ไม่สนับสนุนที่นี่
0
ตอบกลับ
cn flag
silent
@RonTrunk ฉันไม่ได้มองหาความคิดเห็น ฉันสงสัยจริง ๆ ว่าจะมีเหตุผลใดจริง ๆ ในการใช้ทั้งสองอย่าง
0
ตอบกลับ
Ron Trunk avatar
in flag
Ron Trunk
ขึ้นอยู่กับว่าคุณเชื่อว่า WAF ลดความเสี่ยงของคุณได้ดีเพียงใด และความเสี่ยงเพิ่มเติมใดที่ IPS จะปกป้องคุณ เปรียบเทียบต้นทุนและเวลาในการติดตั้งและบำรุงรักษาทั้งสองระบบ คำตอบนั้นไม่ซ้ำกันสำหรับทุกองค์กร
0
ตอบกลับ
Score:2
jotap avatar Server
ธง nl
jotap

คำถาม: มีมูลค่าเพิ่มใดๆ ในสถานการณ์สมมตินี้หรือไม่ที่จะมี มีโซลูชัน IPS / Deep Package Inspection หรือไม่ จากทั้งหมด I เข้าใจ: ไม่ แต่ฉันไม่พบคำตอบที่ชัดเจน

ในการตอบคำถาม ขั้นแรกให้แกะคำสำคัญ "ค่า" ออกก่อน สิ่งที่เรากำลังทำอยู่นี้คือการถามว่า "ค่าของการควบคุมความปลอดภัยคืออะไร"

การควบคุมความปลอดภัย (WAFs, IPSs, ไฟร์วอลล์ SPI เป็นตัวอย่างของการควบคุมความปลอดภัยทางเทคนิค) ถูกนำมาใช้เพื่อจัดการความเสี่ยง การควบคุมความปลอดภัยที่มีต้นทุนสูงกว่าการสูญเสียที่คาดไว้เมื่อเวลาผ่านไปโดยไม่มีการควบคุม โดยทั่วไปจะไม่ถูกนำมาใช้ และการควบคุมที่มีต้นทุนน้อยกว่าการสูญเสียที่คาดไว้เมื่อเวลาผ่านไปจะถูกนำมาใช้แทน

ไม่ว่าจะมีค่าใดๆ ในการใส่ IPS เมื่อไฟร์วอลล์ถูกจำกัดไว้ที่หนึ่งพอร์ตและ WAF อยู่ในตำแหน่งนั้นกำลังถามคำถามนี้จริงๆ: การสูญเสียที่คาดไว้ขึ้นอยู่กับวิธีการตั้งค่าทุกอย่างในขณะนั้น ลบด้วยการสูญเสียที่คาดไว้หลังจาก IPS มี มีราคาสูงกว่าต้นทุนของ IPS ถ้าคำตอบคือ ใช่ แล้วไม่มี ค่า ในการติดตั้ง IPS เนื่องจากค่าใช้จ่ายในการติดตั้งนั้นสูงกว่าประโยชน์ที่ได้รับ นี่คือตัวอย่างของกระบวนการจัดการความเสี่ยงในการดำเนินการ

เมื่อพูดถึงสถานการณ์เฉพาะนี้ มีข้อมูลไม่เพียงพอที่จะตอบคำถามได้อย่างชัดเจน คำตอบทางเทคนิคใด ๆ ที่ได้รับจะไม่ทำเช่นนั้น แม้ว่าเราจะมีข้อมูลทั้งหมดซึ่งจะกว้างขวาง แต่ก็มีรูปแบบต่างๆ เพียงพอในการคำนวณความเสี่ยงที่เราไม่สามารถทำอะไรได้นอกจากให้ "วิธีการทำ" และอาจเป็นคำตอบ Serverfault ที่ยาวที่สุดเท่าที่เคยมีมา :-)

โดยทั่วไปแล้ว สิ่งเหล่านี้เป็นพื้นที่ที่ IPS (เราจะรวม HIPS และ NIPS ที่นี่เพื่อความง่าย) มอบโอกาสที่คุ้มค่าเมื่อนำไปใช้ร่วมกับโซลูชันที่มีอยู่:

  1. สำหรับกรณีที่มีการทำงานแบบครอสโอเวอร์ เป็นตัวควบคุมสำรอง หากไฟร์วอลล์หรือ WAF ได้รับการกำหนดค่าผิดหรือถูกบุกรุก ไม่ตรวจจับภัยคุกคาม หรือตรวจจับภัยคุกคามด้วยวิธีอื่น ซึ่งจะเป็นการเพิ่มโอกาสในการตรวจจับเทคนิคการหลบเลี่ยงการตรวจจับ
  2. สำหรับกรณีที่ IPS ให้การป้องกันเพิ่มเติมที่ยังไม่มีให้ ขึ้นอยู่กับผลิตภัณฑ์และการใช้งาน แต่อาจรวมถึงสิ่งต่างๆ เช่น...
    • การปิดกั้นที่อยู่ IP ที่เป็นอันตราย
    • การบล็อกตามความสัมพันธ์ของเหตุการณ์ - เช่น IP ที่ถูกมองว่าเป็นการสแกนพอร์ตก่อนที่จะส่งคำขอ HTTP
    • ป้องกัน / ตรวจจับการแก้ไขไฟล์โดยกระบวนการที่ไม่ได้รับอนุญาต
    • อื่น ๆ อีกมากมาย
  3. เพื่อการมองเห็นที่เพิ่มขึ้น โดยทั่วไปแล้ว IPS จะสามารถให้คุณมองเห็นภาพรวมของภัยคุกคามได้มากขึ้น เนื่องจากมันกำลังดูสิ่งที่เกิดขึ้นในสภาพแวดล้อมมากขึ้น ไม่ใช่แค่การเข้าชมเว็บ

โดยสรุป IPS จะมีมูลค่าหรือไม่นั้นขึ้นอยู่กับความเสี่ยง มีบางสถานการณ์ที่ใคร ๆ จะเลือกใส่ IPS ในสถานการณ์นี้แม้ว่าจะมีเพียงความซ้ำซ้อนและไม่มีฟังก์ชันเพิ่มเติมก็ตาม - แนวทาง "เข็มขัดและตัวยึด" หากปกป้องเว็บไซต์ส่วนบุคคล อาจจะไม่คุ้มค่า หากปกป้องทรัพย์สินทางปัญญามูลค่าหลายพันล้านดอลลาร์ ก็น่าจะมีมูลค่ามากกว่า

0 + 0
Score:0
borcan22 avatar Server
ธง sg
borcan22

คุณสามารถตั้งค่า WAF ใน DMZ เพื่อป้องกันการรับส่งข้อมูลทางอินเทอร์เน็ต นอกจากนี้ยังสามารถใช้ IDS/IPS plus DPI ในเครือข่ายภายในได้ ทั้งแบบแอกทีฟและแพสซีฟ (แบบอินไลน์หรือไม่ก็ได้)

0 + 0
Score:0
Hamid Farahani avatar Server
ธง jp
Hamid Farahani

คุณไม่จำเป็นต้องใช้การตรวจสอบแพ็คเก็ตหากคุณตั้งค่าไฟร์วอลล์อย่างถูกต้อง แต่คุณยังต้องการ IPS/IDS และการตรวจสอบความสมบูรณ์ แม้ว่าคุณจะมีเซิร์ฟเวอร์ง่ายๆ เพียงเครื่องเดียวพร้อมบริการขั้นต่ำ
พิจารณาสถานการณ์เหล่านี้:

  • หากมีวิธีการ/ลายเซ็นการโจมตีที่ไม่รู้จักสำหรับ WAF ของคุณ ในทางปฏิบัติแล้ว WAF ของคุณจะไม่มีประโยชน์ใดๆ ในการต่อต้านภัยคุกคามประเภทนั้น (โดยเฉพาะช่องโหว่แบบ Zero day) ในสถานการณ์นี้การตรวจสอบกิจกรรมของผู้ใช้และการตรวจสอบความสมบูรณ์ของระบบถือเป็นการดำเนินการที่ชาญฉลาด การใช้เครื่องมือตรวจสอบอาจช่วยและเตือนคุณถึงภัยคุกคามที่น่าสงสัย (แต่ไม่รู้จัก) แต่ต้องการทรัพยากรเพิ่มเติม กฎการตรวจสอบที่กำหนดเอง และการตรวจสอบอย่างต่อเนื่อง
  • การข้าม WAF ไม่ใช่เรื่องเพ้อฝัน ในส่วนนี้ IPS/IDS หรือกลไกการสแกนอื่นๆ จะเพิ่มระดับความปลอดภัยของคุณเป็นชั้นที่สองของการป้องกัน แม้ว่า WAF ของคุณจะล้มเหลว

    หากคุณมีข้อกังวลเกี่ยวกับการตั้งค่าของคุณ แต่คุณไม่ต้องการใช้โซลูชันที่ซับซ้อนหรือมีราคาแพง คุณสามารถทำได้ รวมกัน เครื่องมือพื้นฐานเช่น "iptables" กฎที่กำหนดเองด้วย "ซีลินุกซ์" และ "ผู้ช่วย" เพื่อแผนการรักษาความปลอดภัยที่รัดกุมยิ่งขึ้น
0 + 0
Ron Trunk avatar
in flag
Ron Trunk
หาก WAF ตรวจไม่พบซีโรเดย์ อะไรทำให้คุณคิดว่า IPS ตรวจจับได้
0
ตอบกลับ
Hamid Farahani avatar
jp flag
Hamid Farahani
@RonTrunk IPS/IDS ตรวจพบการเปลี่ยนแปลงไฟล์ระบบ (เช่น มัลแวร์ Horse Pill) แต่ WAF มุ่งเน้นไปที่เว็บแอปพลิเคชัน สิ่งนี้แตกต่างจากลายเซ็นการโจมตี ใน "การโจมตีแบบ zero day" WAF ไม่รู้จักไฟล์ที่ได้รับผลกระทบ! IPS/IDS ไม่
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา