He escuchado sobre los firewalls de aplicaciones web (WAF) y los sistemas de prevención de intrusiones (IPS). ¿Qué es mejor para prevenir un ataque de denegación de servicio distribuido (DDoS) y por qué?
He escuchado sobre los firewalls de aplicaciones web (WAF) y los sistemas de prevención de intrusiones (IPS). ¿Qué es mejor para prevenir un ataque de denegación de servicio distribuido (DDoS) y por qué?
Ninguna de estas tecnologías puede evitar un ataque DDoS, lo que pueden hacer es ayudar a evitar que un ataque DDoS retire los servicios. Tienen funciones completamente diferentes, así que no puedes decir que una es mejor, es mejor que la otra.
Un sistema de prevención de intrusiones busca el tráfico anómalo en una red y puede alertar al personal de operaciones de que se está realizando un ataque DoS, y en algunos casos puede bloquear parte del tráfico. Sin embargo, el principal beneficio aquí es la capacidad de alerta, ya que se notifica a las personas de operaciones para que puedan entrar en acción y mantener los servicios al día.
Un servidor de seguridad de aplicaciones web, si está configurado correctamente, filtrará el tráfico DDoS antes de abrumar las aplicaciones detrás de él.
En realidad, a menos que el ataque DDoS sea de muy bajo nivel, ninguno de los dos será de gran ayuda, ya que un ataque DDoS poderoso abrumará a ambos. La protección DDoS más efectiva se encuentra en el perímetro de su red, utilizando el filtrado de tráfico y la limitación de velocidad en sus dispositivos de red de borde. También ayuda tener un plan para ponerse en contacto con su ISP ascendente y solicitar su ayuda para filtrar el tráfico DDoS.
Así que primero veamos estos dos. Los firewalls de aplicaciones web, como su nombre lo indica, funcionan con aplicaciones web casi exclusivamente. La mayoría de los WAF a menudo no son los mejores cortafuegos tradicionales, y no deben implementarse en lugar de un cortafuegos de red tradicional. Las implementaciones típicas de WAF incluyen el descifrado SSL del tráfico de aplicaciones web y el bloqueo de amenazas basadas en web después de que WAF vuelve a ensamblar cada sesión web. Esto es posible porque el WAF opera en la capa de aplicación donde se encuentran en vivo HTML, XML, Cookies, Javascript, ActiveX, solicitudes de clientes y respuestas del servidor.
Los sistemas de prevención de intrusiones, como su nombre lo indica, inspeccionan los paquetes en un intento por evitar ataques y, por lo tanto, intrusiones. IPS, que evolucionó de los sistemas de detección de intrusos, son sistemas de inspección de paquetes que analizan el tráfico en busca de firmas o infracciones de políticas. Estos dispositivos de uso múltiple generalmente no descifran el tráfico cifrado, sino que aplican una política o conjunto de firmas predefinidos en todo el tráfico de red presentado al IPS.
A medida que los paquetes son inspeccionados por un IPS, a menudo se descartan para mejorar el rendimiento. Este es un diferenciador clave, porque un WAF debe retener paquetes para mantener el contexto de una solicitud web del cliente y la subsiguiente respuesta del servidor. Por lo tanto, podría decirse que IPS trata con paquetes, mientras que WAF trabaja dentro de las sesiones.
Los WAF deben comprender no solo el comportamiento del protocolo, como HTTP GET, POST, HEAD, etc., sino también JavaScript, SQL, HTML, XML, cookies, etc. Esta lógica de la capa de aplicación es fundamental para el funcionamiento de un WAF, pero no es obligatorio para la funcionalidad de IPS y, por lo tanto, no suele implementarse en un IPS.
La línea de base está disponible en IPS y WAF, pero la similitud se detiene con el nombre. La línea de base de IPS consiste en desviaciones estadísticas en el rendimiento y los flujos de tráfico. La línea de base WAF implica URL, Parámetro, Método HTTP, Sesión y Mapeo de cookies. Una WAF no conoce ningún concepto de la utilización del ancho de banda para la línea de base, solo un IPS no sabe si una URL determinada debe aceptar POST o GET de HTTP.
Las implementaciones de WAF se centran en las aplicaciones web y el tráfico de las aplicaciones web, mientras que las implementaciones de IPS se realizan normalmente a nivel de red inspeccionando todos los paquetes. Le concederé que existen protecciones basadas en Host. Las líneas de IPS y WAF están borrosas, pero no califican como IPS o WAF y probablemente no vivirán en grandes centros de datos con múltiples sistemas operativos ni se implementarán en los niveles de sus aplicaciones de n niveles.
Estas son tecnologías complementarias, al igual que los firewalls tradicionales e IPS se complementan entre sí. La protección de fuerza bruta es una característica establecida, pero en algunos casos un ataque DDoS debería o debería decir "podría" mitigarse en la Capa 7.
Sin embargo, la sobrecarga asociada con la inspección de las sesiones web y el procesamiento del volumen de eventos resultante es suficiente para gravar al hardware WAF más dedicado, pero para implementar esta misma cantidad de carga de trabajo en un IPS que debe funcionar a velocidad de cable Al proteger TODO el tráfico de la red, es probable que se degrade el rendimiento del IPS y se ponga en peligro la protección de la seguridad. No es realmente el mejor método o debería ser nuestra primera línea de defensa cuando analizamos una posible DDoS que podría acabar con toda tu red o como máximo tu Edge Net.