Ist es sinnvoll, eine WAF (Web Application Firewall) durch ein IPS (Intrusion Prevention System) zu erweitern?

Question 1

Frage: Bringt es in diesem Szenario einen Mehrwert, zusätzlich eine IPS-/Deep Package Inspection-Lösung zu haben? Soweit ich weiß: Nein. Aber ich habe da draußen keine klare Antwort gefunden.

Um die Frage zu beantworten, wollen wir zunächst den Schlüsselbegriff „Wert“ näher betrachten. Wir fragen hier: „Was ist der Wert einer Sicherheitskontrolle?“

Sicherheitskontrollen (WAFs, IPSs, SPI-Firewalls sind Beispiele für technische Sicherheitskontrollen) werden eingeführt, um Risiken zu managen. Sicherheitskontrollen, die mehr kosten als der erwartete Verlust im Laufe der Zeit, wenn die Kontrolle nicht vorhanden ist, werden normalerweise nicht eingeführt. Sicherheitskontrollen, die weniger kosten als der erwartete Verlust im Laufe der Zeit, werden eingeführt.

Ob es sinnvoll ist, ein IPS zu installieren, wenn eine Firewall auf einen Port beschränkt ist und ein WAF vorhanden ist, wirft eigentlich diese Frage auf: Ist der erwartete Verlust basierend auf der aktuellen Konfiguration abzüglich des erwarteten Verlusts nach der Installation des IPS größer als die Kosten des IPS? Wenn die Antwort lautet, yesdann gibt es keineWertbei der Einführung eines IPS, da die Kosten für die Einführung höher sind als der Nutzen, den es bietet. Dies ist ein Beispiel für den Risikomanagementprozess in Aktion.

In dieser speziellen Situation gibt es nicht genügend Informationen, um die Frage definitiv zu beantworten. Jede technische Antwort reicht nicht aus. Selbst wenn wir alle Informationen hätten, die sehr umfangreich wären, gibt es so viele Unterschiede in der Risikoberechnung, dass wir definitiv nichts tun könnten, außer „eine Vorgehensweise“ anzugeben und möglicherweise die längste Serverfault-Antwort aller Zeiten zu geben :-)

Im Allgemeinen sind dies jedoch Bereiche, in denen ein IPS (der Einfachheit halber fassen wir hier HIPS und NIPS zusammen) Mehrwert bieten kann, wenn es zusammen mit den vorhandenen Lösungen implementiert wird:

In Fällen, in denen es zu Überschneidungen in der Funktionalität kommt, als sekundäre Kontrolle, wenn die Firewall oder WAF falsch konfiguriert oder kompromittiert wurde, die Bedrohung nicht erkennt oder die Bedrohung mit einer anderen Methode erkennt, wodurch die Wahrscheinlichkeit der Erkennung von Techniken zur Umgehung der Erkennung steigt.
Für Fälle, in denen das IPS zusätzlichen Schutz bietet, der noch nicht bereitgestellt wurde. Dies ist produkt- und implementierungsabhängig, kann aber Dinge wie Folgendes umfassen:
- Blockieren bekanntermaßen bösartiger IP-Adressen
- Blockierung basierend auf Ereigniskorrelation - z. B. IPs, bei denen vor dem Senden der HTTP-Anfragen ein Port-Scan festgestellt wurde
- Verhindern/Erkennen von Dateiänderungen durch nicht autorisierte Prozesse
- Viele andere
Für mehr Transparenz. Das IPS bietet Ihnen im Allgemeinen mehr Einblick in die Bedrohungslandschaft, da es viel mehr von dem berücksichtigt, was in der Umgebung vor sich geht, und nicht nur den Webverkehr.

Zusammenfassend lässt sich sagen, dass die Frage, ob ein IPS von Wert ist, vom Risiko abhängt. Es gibt sicherlich Szenarien, in denen man sich für die Installation eines IPS entscheiden würde, selbst wenn es nur Redundanz und keine zusätzliche Funktionalität bietet – der „Gürtel und Hosenträger“-Ansatz. Wenn es um den Schutz einer persönlichen Website geht, wird es sich wahrscheinlich nicht lohnen, wenn es um den Schutz geistigen Eigentums im Wert von mehreren Milliarden Dollar geht, ist es wahrscheinlich wertvoller.

Answer

Frage: Bringt es in diesem Szenario einen Mehrwert, zusätzlich eine IPS-/Deep Package Inspection-Lösung zu haben? Soweit ich weiß: Nein. Aber ich habe da draußen keine klare Antwort gefunden.

Um die Frage zu beantworten, wollen wir zunächst den Schlüsselbegriff „Wert“ näher betrachten. Wir fragen hier: „Was ist der Wert einer Sicherheitskontrolle?“

Sicherheitskontrollen (WAFs, IPSs, SPI-Firewalls sind Beispiele für technische Sicherheitskontrollen) werden eingeführt, um Risiken zu managen. Sicherheitskontrollen, die mehr kosten als der erwartete Verlust im Laufe der Zeit, wenn die Kontrolle nicht vorhanden ist, werden normalerweise nicht eingeführt. Sicherheitskontrollen, die weniger kosten als der erwartete Verlust im Laufe der Zeit, werden eingeführt.

Ob es sinnvoll ist, ein IPS zu installieren, wenn eine Firewall auf einen Port beschränkt ist und ein WAF vorhanden ist, wirft eigentlich diese Frage auf: Ist der erwartete Verlust basierend auf der aktuellen Konfiguration abzüglich des erwarteten Verlusts nach der Installation des IPS größer als die Kosten des IPS? Wenn die Antwort lautet, yesdann gibt es keineWertbei der Einführung eines IPS, da die Kosten für die Einführung höher sind als der Nutzen, den es bietet. Dies ist ein Beispiel für den Risikomanagementprozess in Aktion.

In dieser speziellen Situation gibt es nicht genügend Informationen, um die Frage definitiv zu beantworten. Jede technische Antwort reicht nicht aus. Selbst wenn wir alle Informationen hätten, die sehr umfangreich wären, gibt es so viele Unterschiede in der Risikoberechnung, dass wir definitiv nichts tun könnten, außer „eine Vorgehensweise“ anzugeben und möglicherweise die längste Serverfault-Antwort aller Zeiten zu geben :-)

Im Allgemeinen sind dies jedoch Bereiche, in denen ein IPS (der Einfachheit halber fassen wir hier HIPS und NIPS zusammen) Mehrwert bieten kann, wenn es zusammen mit den vorhandenen Lösungen implementiert wird:

In Fällen, in denen es zu Überschneidungen in der Funktionalität kommt, als sekundäre Kontrolle, wenn die Firewall oder WAF falsch konfiguriert oder kompromittiert wurde, die Bedrohung nicht erkennt oder die Bedrohung mit einer anderen Methode erkennt, wodurch die Wahrscheinlichkeit der Erkennung von Techniken zur Umgehung der Erkennung steigt.
Für Fälle, in denen das IPS zusätzlichen Schutz bietet, der noch nicht bereitgestellt wurde. Dies ist produkt- und implementierungsabhängig, kann aber Dinge wie Folgendes umfassen:
- Blockieren bekanntermaßen bösartiger IP-Adressen
- Blockierung basierend auf Ereigniskorrelation - z. B. IPs, bei denen vor dem Senden der HTTP-Anfragen ein Port-Scan festgestellt wurde
- Verhindern/Erkennen von Dateiänderungen durch nicht autorisierte Prozesse
- Viele andere
Für mehr Transparenz. Das IPS bietet Ihnen im Allgemeinen mehr Einblick in die Bedrohungslandschaft, da es viel mehr von dem berücksichtigt, was in der Umgebung vor sich geht, und nicht nur den Webverkehr.

Zusammenfassend lässt sich sagen, dass die Frage, ob ein IPS von Wert ist, vom Risiko abhängt. Es gibt sicherlich Szenarien, in denen man sich für die Installation eines IPS entscheiden würde, selbst wenn es nur Redundanz und keine zusätzliche Funktionalität bietet – der „Gürtel und Hosenträger“-Ansatz. Wenn es um den Schutz einer persönlichen Website geht, wird es sich wahrscheinlich nicht lohnen, wenn es um den Schutz geistigen Eigentums im Wert von mehreren Milliarden Dollar geht, ist es wahrscheinlich wertvoller.

Question 2

Wenn Sie Ihre Firewall richtig eingerichtet haben, müssen Sie keine Paketprüfung durchführen. Sie benötigen jedoch trotzdem IPS/IDS und eine Integritätsprüfung, auch wenn Sie nur einen einfachen Server mit minimalen Diensten haben.
Bedenken Sie diese Situationen:

Wenn es eine unbekannte Methode/Signatur für einen Angriff auf Ihr WAF gibt, ist Ihr WAF gegen diese Art von Bedrohung (insbesondere Zero-Day-Schwachstellen) praktisch nutzlos. In dieser Situation ist es sinnvoll, die Aktivität der Benutzer zu überwachen und die Systemintegrität zu prüfen. Die Verwendung von Audit-Tools kann hilfreich sein und Sie vor verdächtigen (aber unbekannten) Bedrohungen warnen. Dies erfordert jedoch mehr Ressourcen, angepasste Audit-Regeln und ständige Kontrollen.
Das Umgehen von WAF ist keine Fantasie. In diesem Fall erhöhen IPS/IDS oder ein anderer Scan-Mechanismus als zweite Verteidigungsebene Ihr Sicherheitsniveau. Selbst wenn Ihr WAF ausfällt.

Wenn Sie Bedenken hinsichtlich Ihrer Einstellungen haben, aber keine komplizierte oder teure Lösung verwenden möchten, können Siekombinierensehr einfache Werkzeuge wie"iptables"benutzerdefinierte Regeln mit"SElinux"Und"BERATER"für einen stärkeren Sicherheitsplan.

Answer

Wenn Sie Ihre Firewall richtig eingerichtet haben, müssen Sie keine Paketprüfung durchführen. Sie benötigen jedoch trotzdem IPS/IDS und eine Integritätsprüfung, auch wenn Sie nur einen einfachen Server mit minimalen Diensten haben.
Bedenken Sie diese Situationen:

Wenn es eine unbekannte Methode/Signatur für einen Angriff auf Ihr WAF gibt, ist Ihr WAF gegen diese Art von Bedrohung (insbesondere Zero-Day-Schwachstellen) praktisch nutzlos. In dieser Situation ist es sinnvoll, die Aktivität der Benutzer zu überwachen und die Systemintegrität zu prüfen. Die Verwendung von Audit-Tools kann hilfreich sein und Sie vor verdächtigen (aber unbekannten) Bedrohungen warnen. Dies erfordert jedoch mehr Ressourcen, angepasste Audit-Regeln und ständige Kontrollen.
Das Umgehen von WAF ist keine Fantasie. In diesem Fall erhöhen IPS/IDS oder ein anderer Scan-Mechanismus als zweite Verteidigungsebene Ihr Sicherheitsniveau. Selbst wenn Ihr WAF ausfällt.

Wenn Sie Bedenken hinsichtlich Ihrer Einstellungen haben, aber keine komplizierte oder teure Lösung verwenden möchten, können Siekombinierensehr einfache Werkzeuge wie"iptables"benutzerdefinierte Regeln mit"SElinux"Und"BERATER"für einen stärkeren Sicherheitsplan.

Question 3

Sie können die WAF in DMZ einrichten, um den Internetverkehr zu schützen. Außerdem können IDS/IPS plus DPI im internen Netzwerk verwendet werden, aktiv oder passiv (inline oder nicht).

Answer

Sie können die WAF in DMZ einrichten, um den Internetverkehr zu schützen. Außerdem können IDS/IPS plus DPI im internen Netzwerk verwendet werden, aktiv oder passiv (inline oder nicht).

Ist es sinnvoll, eine WAF (Web Application Firewall) durch ein IPS (Intrusion Prevention System) zu erweitern?

Antwort1

Antwort2

Antwort3

verwandte Informationen