یکی از باارزشترین داراییهای شرکت دادههای آن است و بنیاد هر شرکتی بر اساس این دادهها بناشده است. از طرفی دادهها بیش از هر عنصر دیگری در یک سازمان مورد تهدیدی قرار میگیرند که باید با استراتژیهای امنیتی و با استفاده از ابزارهای مختلف امنیت آنها را فراهم کنیم. یکی از این ابزارهای سیستمهای امنیتی WAF و IPS هستند که نقش مهمی در امنیت شبکه و دادههای ما ایجاد میکنند.
امروزه هکرها از روشهای مختلفی برای هدف قرار دادن شرکتها و دسترسی به اطلاعات حساس در مورد آنها استفاده میکنند. حملات در پروتکلهای شبکه در لایههای جداگانهای انجام میشود که برای هر نوع به مکانیسمهای امنیتی مجزایی نیاز داریم. گزینههای مختلف میتوانند سرورهای شرکتی (و حتی مراکز داده) را ایمن کنند و دادهها را در برابر تهدیدات مختلف ایمن کنند. در این مقاله آموزشی از مکتب خونه قصد داریم دو ابزار فایروال برنامه کاربردی وب (WAF) و سیستم پیشگیری از نفوذ (IPS) را موردبحث قرار دهیم.
[box type=”note” align=”” class=”” width=””]ویدئو پیشنهادی: آموزش امنیت شبکه [/box]
قبل از اینکه به تفاوت میان سیستمهای امنیتی WAF و IPS بپردازیم و آنها را باهم مقایسه کنیم اجازه دهید که بهصورت مختصر با هرکدام از این سیستمها و نحوه کار آنها آشنا شویم.
سیستم پیشگیری از نفوذ (IPS)
IPS ابزاری است که ترافیک شبکه را برای شناسایی الگوهای مخرب و بستههای بالقوه مضر نظارت و تجزیهوتحلیل میکند. بهطورمعمول، اکثر IPS ها فایروال، مدیریت تهدید یکپارچه و قابلیتهای مسیریابی را ارائه میدهند. پیشرفتهای متعددی در فناوری IPS با مجموعه پیچیدهای از قابلیتها ازجمله بازرسی بستههای درونخطی عمیق، جلوگیری از نفوذ از طریق تشخیص قوانین و امضا، بازرسی و کنترل برنامه، بازرسی ترافیک SSL/SSH، فیلتر وبسایت و مدیریت کیفیت خدمات/پهنای باند وجود دارد. محصولات زیادی در بازار IPS وجود دارد، یک نمونه رایج از این ابزار، محصول FortiGate Fortinet است.
[box type=”note” align=”” class=”” width=””]مقاله پیشنهادی: امنیت PHP و چالش های پیش روی آن[/box]
فایروال برنامه کاربردی وب (WAF)
WAF معمولاً ابزار یا سرویسی است که برای ایمنسازی وبسایتها/برنامههای شما در برابر تهدیداتی مانند DoS، Cross Site Scripting و SQL injection و غیره استفاده میشود. دستگاه WAF قبل از وب سرور قرار میگیرد. بهطورمعمول، یک WAF توانایی پیکربندی قوانین و شرایط امنیتی را از طریق ACL (لیست کنترل دسترسی) فراهم میکند که درخواستهای مخرب را شناسایی کرده و از پردازش آنها توسط وب سرور جلوگیری میکند.
با توجه به نیاز به عملکرد، بسیاری از ارائهدهندگان SaaS و مشاغل آنلاین از شبکههای تحویل محتوا (CDN) مانند AWS CloudFront یا Akamai استفاده میکنند که قابلیتهای WAF یکپارچه را ارائه میدهند. نمونهای از یک محصول مستقل، محصول FortiWeb Fortinet است.
WAF ها نهتنها حملات شناختهشدهای که در محیطهای برنامههای وب رخ میدهند را شناسایی میکند، بلکه انواع ناشناخته جدید حملات را نیز شناسایی میکنند (و میتوانند از آن جلوگیری کنند). با مشاهده الگوهای غیرمعمول یا غیرمنتظره در ترافیک، آنها میتوانند هشدار دهند و/یا در برابر حملات ناشناخته دفاع کنند.
بهعنوانمثال، اگر یک WAF تشخیص دهد که برنامه بسیار بیشتر ازآنچه انتظار میرود داده برمیگرداند، WAF میتواند آن را مسدود کرده و به مدیر شبکه هشدار دهد. در بخش بعدی درباره تفاوتهای سیستمهای امنیتی WAF و IPS صحبت خواهیم کرد.
سیستم امنیتی WAF در مقابل IPS
همانطور که گفتیم WAF ها برای محافظت از برنامهها/سرورهای وب در برابر حملات مبتنی بر وب طراحیشدهاند که IPS ها نمیتوانند از آنها جلوگیری کنند. ازنظر یک IPS، WAF ها میتوانند مبتنی بر شبکه یا میزبان باشند. آنها در صف مینشینند و ترافیک برنامههای کاربردی وب / سرورها را نظارت میکنند. اساساً تفاوت در سطح توانایی تجزیهوتحلیل منطق برنامه وب لایه 7 است.
درجایی که IPS ها ترافیک را در مقابل امضاها و ناهنجاریها مورد بازجویی قرار میدهند، WAF ها رفتار و منطق آنچه را که درخواست شده و برگردانده میشود بازجویی میکنند. WAF ها در برابر تهدیدات برنامههای کاربردی وب مانند تزریق SQL، اسکریپت بین سایتی، جلسه، دستکاری پارامتر یا URL و سرریز بافر محافظت میکنند. آنها این کار را به همان روشی که IPS انجام میدهد، با تجزیهوتحلیل محتویات هر بسته ورودی و خروجی انجام میدهد.
WAF ها معمولاً به شکلی پروکسی درست در جلوی برنامههای وب مستقر میشوند، بنابراین تمام ترافیک شبکههای ما را نمیبینند. با نظارت بر ترافیک قبل از رسیدن به برنامه وب، WAF ها میتوانند درخواستها را قبل از ارسال آنها تجزیهوتحلیل کنند. این همان چیزی است که به آنها را از IPS ها جدا میکند. ازآنجاییکه IPS ها برای بررسی تمام ترافیک شبکه طراحیشدهاند، نمیتوانند لایه برنامه را بهطور کامل تجزیهوتحلیل کنند. بهصورت کلی میتوان گفت که سیستمهای امنیتی WAF و IPS هر دو در جایگاه خودشان مزایای منحصربهفردی برای امنیت شبکه ما فراهم میکنند.
[box type=”note” align=”” class=”” width=””]مقاله پیشنهادی: سوئیچ شبکه سیسکو چیست؟[/box]
چهار تفاوت کلیدی سیستمهای امنیتی WAF و IPS
- ازآنجاییکه بستهها توسط یک IPS بازرسی میشوند، اغلب برای بهبود عملکرد دور انداخته میشوند. اینیک تمایز کلیدی با WAF است، زیرا یک WAF باید بستهها را حفظ کند تا زمینه درخواست وب مشتری و پاسخ سرور بعدی را حفظ کند؛ بنابراین میتوان گفت که IPS با بستهها سروکار دارد، درحالیکه WAF در جلسات کار میکند.
- WAF ها نهتنها باید رفتار پروتکل، مانند HTTP GET، POST، HEAD و غیره را درک کنند، بلکه باید جاوا اسکریپت، SQL، HTML، XML، کوکیها و غیره را نیز درک کنند. این منطق لایه برنامه برای عملکرد یک WAF اساسی است اما برای عملکرد IPS لازم نیست و بنابراین معمولاً روی یک IPS پیادهسازی نمیشود. اینیکی دیگر از تفاوتهای کلیدی سیستمهای امنیتی WAF و IPS است.
- Baselining در IPS و WAF در دسترس است، اما متفاوت عمل میکند می. خط پایه IPS شامل انحرافات آماری در توان عملیاتی و جریان ترافیک است. خط پایه WAF شامل URL، پارامتر، روش HTTP، Session و نقشهبرداری کوکی است. یک WAF هیچ مفهومی از استفاده از پهنای باند برای خط پایه نمیداند، فقط یک IPS میتواند بفهمد که آیا URL دادهشده قرار است HTTP POST یا GET را بپذیرد.
- امضاهای IPS توسط شرکتها بهعنوان وسیلهای برای وصله مجازی کامپیوتر شخصی خود قبل از در دسترس بودن یا عرضه کامل وصله یا بهروزرسانی واقعی در نظر گرفته میشوند. زمانی که آسیبپذیریهای لایه برنامه خاصی وجود داشته باشد یا زمانی که کد برنامه کاربردی وب سفارشی دارای آسیبپذیری جدیدی باشد، این سطح از محافظت در IPS در دسترس نیست. اینجاست که WAF به دلیل آگاهی از این مسئله، معیاری از محافظت را ارائه میکند که در IPS در دسترس نیست.
سیستمهای امنیتی WAF و IPS کدامیکی بهتر است؟
WAF برای ایمنسازی برنامههای HTTP مفید است و معمولاً برای ایمنسازی سرورها استفاده میشود. ترافیک وب مانند HTTP GET، POST، URL، SSL و غیره را تشخیص میدهد. از سوی دیگر، IPS برای طیف گستردهای از پروتکلهای شبکه محافظت میکند و میتواند رمزگشایی پروتکل خام را انجام دهد و رفتار غیرعادی را تشخیص دهد. IPS جلسات (GET/POST)، کاربران یا حتی برنامهها را شناسایی نمیکند.
اینکه بگوییم که سیستمهای امنیتی WAF و IPS کدامیکی بهتر است جواب مشخصی و معینی برای آن وجود ندارد. هر دو راهحل یکلایه امنیتی اضافی برای شبکه ما فراهم میکنند، آنها بر روی انواع خاصی از ترافیک کار میکنند و اغلب بهجای رقابت، مکمل یکدیگر هستند. درحالیکه به نظر میرسد IPS از ترافیک وسیعتری محافظت میکند، نوع خاصی از ترافیک وجود دارد که فقط یک WAF میتواند آن را مدیریت کند؛ بنابراین، توصیه میشود هر دو راهحل را داشته باشید، بهخصوص زمانی که سازمان شما بزرگ است و دادههای بسیار حساسی دارد.
نتیجهگیری
فایروالهای برنامههای کاربردی وب نوع خاصی از محصولات هستند که برای شناسایی حملات علیه برنامههای کاربردی وب در عمق بیشتری نسبت به سیستمهای پیشگیری از نفوذ استفاده میشوند. WAF ها را میتوان در محیطهای ما برای ارائه حفاظت پیشرفته از برنامهها/سرورهای وب استفاده کرد. استفاده از WAF راه خوبی برای تقویت IPS ها و ارائه لایه دیگری از حفاظت برای معماری دفاعی عمیق ما است.
از بحث بالا میتوان نتیجه گرفت که سیستم های امنیتی WAF و IPS هرکدام مزیتهای فراوانی برای سامان و شرکت ما فراهم میکنند و بهترین استراتژی این است که هردوی آنها را به کار ببریم، مخصوص اگر دادههای ما حساس و مهم باشند.
