سیستم‌های امنیتی WAF و IPS

یکی از باارزش‌ترین دارایی‌های شرکت داده‌های آن است و بنیاد هر شرکتی بر اساس این داده‌ها بناشده است. از طرفی داده‌ها بیش از هر عنصر دیگری در یک سازمان مورد تهدیدی قرار می‌گیرند که باید با استراتژی‌های امنیتی و با استفاده از ابزارهای مختلف امنیت آن‌ها را فراهم کنیم. یکی از این ابزارهای سیستم‌های امنیتی WAF و IPS هستند که نقش مهمی در امنیت شبکه و داده‌های ما ایجاد می‌کنند.

امروزه هکرها از روش‌های مختلفی برای هدف قرار دادن شرکت‌ها و دسترسی به اطلاعات حساس در مورد آن‌ها استفاده می‌کنند. حملات در پروتکل‌های شبکه در لایه‌های جداگانه‌ای انجام می‌شود که برای هر نوع به مکانیسم‌های امنیتی مجزایی نیاز داریم. گزینه‌های مختلف می‌توانند سرورهای شرکتی (و حتی مراکز داده) را ایمن کنند و داده‌ها را در برابر تهدیدات مختلف ایمن کنند. در این مقاله آموزشی از مکتب خونه قصد داریم دو ابزار فایروال برنامه کاربردی وب (WAF) و سیستم پیشگیری از نفوذ (IPS) را موردبحث قرار دهیم.

قبل از اینکه به تفاوت میان سیستم‌های امنیتی WAF و IPS بپردازیم و آن‌ها را باهم مقایسه کنیم اجازه دهید که به‌صورت مختصر با هرکدام از این سیستم‌ها و نحوه کار آن‌ها آشنا شویم.

سیستم پیشگیری از نفوذ (IPS)

IPS ابزاری است که ترافیک شبکه را برای شناسایی الگوهای مخرب و بسته‌های بالقوه مضر نظارت و تجزیه‌وتحلیل می‌کند. به‌طورمعمول، اکثر IPS ها فایروال، مدیریت تهدید یکپارچه و قابلیت‌های مسیریابی را ارائه می‌دهند. پیشرفت‌های متعددی در فناوری IPS با مجموعه پیچیده‌ای از قابلیت‌ها ازجمله بازرسی بسته‌های درون‌خطی عمیق، جلوگیری از نفوذ از طریق تشخیص قوانین و امضا، بازرسی و کنترل برنامه، بازرسی ترافیک SSL/SSH، فیلتر وب‌سایت و مدیریت کیفیت خدمات/پهنای باند وجود دارد. محصولات زیادی در بازار IPS وجود دارد، یک نمونه رایج از این ابزار، محصول FortiGate Fortinet است.

فایروال برنامه کاربردی وب (WAF)

WAF معمولاً ابزار یا سرویسی است که برای ایمن‌سازی وب‌سایت‌ها/برنامه‌های شما در برابر تهدیداتی مانند DoS، Cross Site Scripting و SQL injection و غیره استفاده می‌شود. دستگاه WAF قبل از وب سرور قرار می‌گیرد. به‌طورمعمول، یک WAF توانایی پیکربندی قوانین و شرایط امنیتی را از طریق ACL (لیست کنترل دسترسی) فراهم می‌کند که درخواست‌های مخرب را شناسایی کرده و از پردازش آن‌ها توسط وب سرور جلوگیری می‌کند.

با توجه به نیاز به عملکرد، بسیاری از ارائه‌دهندگان SaaS و مشاغل آنلاین از شبکه‌های تحویل محتوا (CDN) مانند AWS CloudFront یا Akamai استفاده می‌کنند که قابلیت‌های WAF یکپارچه را ارائه می‌دهند. نمونه‌ای از یک محصول مستقل، محصول FortiWeb Fortinet است.

WAF ها نه‌تنها حملات شناخته‌شده‌ای که در محیط‌های برنامه‌های وب رخ می‌دهند را شناسایی می‌کند، بلکه انواع ناشناخته جدید حملات را نیز شناسایی می‌کنند (و می‌توانند از آن جلوگیری کنند). با مشاهده الگوهای غیرمعمول یا غیرمنتظره در ترافیک، آن‌ها می‌توانند هشدار دهند و/یا در برابر حملات ناشناخته دفاع کنند.

به‌عنوان‌مثال، اگر یک WAF تشخیص دهد که برنامه بسیار بیشتر ازآنچه انتظار می‌رود داده برمی‌گرداند، WAF می‌تواند آن را مسدود کرده و به مدیر شبکه هشدار دهد. در بخش بعدی درباره تفاوت‌های سیستم‌های امنیتی WAF و IPS صحبت خواهیم کرد.

 سیستم‌ امنیتی WAF در مقابل IPS

همان‌طور که گفتیم WAF ها برای محافظت از برنامه‌ها/سرورهای وب در برابر حملات مبتنی بر وب طراحی‌شده‌اند که IPS ها نمی‌توانند از آن‌ها جلوگیری کنند. ازنظر یک IPS، WAF ها می‌توانند مبتنی بر شبکه یا میزبان باشند. آن‌ها در صف می‌نشینند و ترافیک برنامه‌های کاربردی وب / سرورها را نظارت می‌کنند. اساساً تفاوت در سطح توانایی تجزیه‌وتحلیل منطق برنامه وب لایه 7 است.

درجایی که IPS ها ترافیک را در مقابل امضاها و ناهنجاری‌ها مورد بازجویی قرار می‌دهند، WAF ها رفتار و منطق آنچه را که درخواست شده و برگردانده می‌شود بازجویی می‌کنند. WAF ها در برابر تهدیدات برنامه‌های کاربردی وب مانند تزریق SQL، اسکریپت بین سایتی، جلسه، دست‌کاری پارامتر یا URL و سرریز بافر محافظت می‌کنند. آن‌ها این کار را به همان روشی که IPS انجام می‌دهد، با تجزیه‌وتحلیل محتویات هر بسته ورودی و خروجی انجام می‌دهد.

WAF ها معمولاً به شکلی پروکسی درست در جلوی برنامه‌های وب مستقر می‌شوند، بنابراین تمام ترافیک شبکه‌های ما را نمی‌بینند. با نظارت بر ترافیک قبل از رسیدن به برنامه وب، WAF ها می‌توانند درخواست‌ها را قبل از ارسال آن‌ها تجزیه‌وتحلیل کنند. این همان چیزی است که به آن‌ها را از IPS ها جدا می‌کند. ازآنجایی‌که IPS ها برای بررسی تمام ترافیک شبکه طراحی‌شده‌اند، نمی‌توانند لایه برنامه را به‌طور کامل تجزیه‌وتحلیل کنند. به‌صورت کلی می‌توان گفت که سیستم‌های امنیتی WAF و IPS هر دو در جایگاه خودشان مزایای منحصربه‌فردی برای امنیت شبکه ما فراهم می‌کنند.

چهار تفاوت کلیدی سیستم‌های امنیتی WAF و IPS

• ازآنجایی‌که بسته‌ها توسط یک IPS بازرسی می‌شوند، اغلب برای بهبود عملکرد دور انداخته می‌شوند. این‌یک تمایز کلیدی با WAF است، زیرا یک WAF باید بسته‌ها را حفظ کند تا زمینه درخواست وب مشتری و پاسخ سرور بعدی را حفظ کند؛ بنابراین می‌توان گفت که IPS با بسته‌ها سروکار دارد، درحالی‌که WAF در جلسات کار می‌کند.
• WAF ها نه‌تنها باید رفتار پروتکل، مانند HTTP GET، POST، HEAD و غیره را درک کنند، بلکه باید جاوا اسکریپت، SQL، HTML، XML، کوکی‌ها و غیره را نیز درک کنند. این منطق لایه برنامه برای عملکرد یک WAF اساسی است اما برای عملکرد IPS لازم نیست و بنابراین معمولاً روی یک IPS پیاده‌سازی نمی‌شود. این‌یکی دیگر از تفاوت‌های کلیدی سیستم‌های امنیتی WAF و IPS است.
• Baselining در IPS و WAF در دسترس است، اما متفاوت عمل می‌کند می. خط پایه IPS شامل انحرافات آماری در توان عملیاتی و جریان ترافیک است. خط پایه WAF شامل URL، پارامتر، روش HTTP، Session و نقشه‌برداری کوکی است. یک WAF هیچ مفهومی از استفاده از پهنای باند برای خط پایه نمی‌داند، فقط یک IPS می‌تواند بفهمد که آیا URL داده‌شده قرار است HTTP POST یا GET را بپذیرد.
• امضاهای IPS توسط شرکت‌ها به‌عنوان وسیله‌ای برای وصله مجازی کامپیوتر شخصی خود قبل از در دسترس بودن یا عرضه کامل وصله یا به‌روزرسانی واقعی در نظر گرفته می‌شوند. زمانی که آسیب‌پذیری‌های لایه برنامه خاصی وجود داشته باشد یا زمانی که کد برنامه کاربردی وب سفارشی دارای آسیب‌پذیری جدیدی باشد، این سطح از محافظت در IPS در دسترس نیست. اینجاست که WAF به دلیل آگاهی از این مسئله، معیاری از محافظت را ارائه می‌کند که در IPS در دسترس نیست.

سیستم‌های امنیتی WAF و IPS کدام‌یکی بهتر است؟

WAF برای ایمن‌سازی برنامه‌های HTTP مفید است و معمولاً برای ایمن‌سازی سرورها استفاده می‌شود. ترافیک وب مانند HTTP GET، POST، URL، SSL و غیره را تشخیص می‌دهد. از سوی دیگر، IPS برای طیف گسترده‌ای از پروتکل‌های شبکه محافظت می‌کند و می‌تواند رمزگشایی پروتکل خام را انجام دهد و رفتار غیرعادی را تشخیص دهد. IPS جلسات (GET/POST)، کاربران یا حتی برنامه‌ها را شناسایی نمی‌کند.

اینکه بگوییم که سیستم‌های امنیتی WAF و IPS کدام‌یکی بهتر است جواب مشخصی و معینی برای آن وجود ندارد. هر دو راه‌حل یک‌لایه امنیتی اضافی برای شبکه ما فراهم می‌کنند، آن‌ها بر روی انواع خاصی از ترافیک کار می‌کنند و اغلب به‌جای رقابت، مکمل یکدیگر هستند. درحالی‌که به نظر می‌رسد IPS از ترافیک وسیع‌تری محافظت می‌کند، نوع خاصی از ترافیک وجود دارد که فقط یک WAF می‌تواند آن را مدیریت کند؛ بنابراین، توصیه می‌شود هر دو راه‌حل را داشته باشید، به‌خصوص زمانی که سازمان شما بزرگ است و داده‌های بسیار حساسی دارد.

نتیجه‌گیری

فایروال‌های برنامه‌های کاربردی وب نوع خاصی از محصولات هستند که برای شناسایی حملات علیه برنامه‌های کاربردی وب در عمق بیشتری نسبت به سیستم‌های پیشگیری از نفوذ استفاده می‌شوند. WAF ها را می‌توان در محیط‌های ما برای ارائه حفاظت پیشرفته از برنامه‌ها/سرورهای وب استفاده کرد. استفاده از WAF راه خوبی برای تقویت IPS ها و ارائه لایه دیگری از حفاظت برای معماری دفاعی عمیق ما است.

از بحث بالا می‌توان نتیجه گرفت که سیستم های امنیتی WAF و IPS هرکدام مزیت‌های فراوانی برای سامان و شرکت ما فراهم می‌کنند و بهترین استراتژی این است که هردوی آن‌ها را به کار ببریم، مخصوص اگر داده‌های ما حساس و مهم باشند.