¿Tiene sentido aumentar WAF (Web Application Firewall) con un IPS (Sistema de prevención de intrusiones)?

Question 1

Pregunta: ¿Existe algún valor agregado en este escenario al contar también con una solución IPS/Inspección profunda de paquetes? Por lo que tengo entendido: No. Pero no encontré ninguna respuesta clara.

Para responder a la pregunta, primero analicemos el término clave "valor". Lo que estamos haciendo aquí es preguntar "¿cuál es el valor de un control de seguridad?".

Se implementan controles de seguridad (WAF, IPS, firewalls SPI como ejemplos de controles técnicos de seguridad) para gestionar el riesgo. Normalmente no se implementarían controles de seguridad que cuesten más que la pérdida esperada a lo largo del tiempo por no tener el control, y se implementarían aquellos que cuesten menos que la pérdida esperada a lo largo del tiempo.

Si tiene algún valor instalar un IPS cuando hay un firewall limitado a un puerto y un WAF, realmente se hace esta pregunta: ¿la pérdida esperada se basa en cómo está configurado todo en ese momento menos la pérdida esperada después de que se haya instalado el IPS? se han implementado fondos mayores que el costo del IPS. Si la respuesta es yesentonces no hayvaloren poner un IPS, ya que el costo de ponerlo es mayor que el beneficio que brinda. Este es un ejemplo del proceso de gestión de riesgos en acción.

Cuando se trata de esta situación particular, no hay suficiente información para responder definitivamente a la pregunta. Cualquier respuesta técnica dada no servirá. Incluso si tuviéramos toda la información, que sería extensa, hay suficientes variaciones en cómo las personas calculan el riesgo que definitivamente no podríamos hacer nada más que dar "una manera de hacerlo", y posiblemente la respuesta más larga de Serverfault jamás creada. :-)

Sin embargo, en términos generales, estas son áreas donde un IPS (aquí combinaremos HIPS y NIPS para simplificar) brinda oportunidades de valor cuando se implementa junto con las soluciones existentes:

Para los casos en los que hay un cruce de funcionalidades, como control secundario si el firewall o WAF estuvo mal configurado o comprometido, no detecta la amenaza o detecta la amenaza por un método diferente, aumentando así la probabilidad de detectar técnicas de evasión de detección.
Para casos en los que el IPS proporciona protección adicional que aún no se proporciona. Esto depende del producto y de la implementación, pero puede incluir cosas como...
- Bloquear direcciones IP maliciosas conocidas
- Bloqueo basado en la correlación de eventos, por ejemplo. IP que se han detectado como escaneo de puertos antes de enviar las solicitudes HTTP
- Prevenir/detectar modificaciones de archivos por procesos no autorizados
- Muchos otros
Para una mayor visibilidad. El IPS generalmente podrá brindarle más visibilidad del panorama de amenazas, ya que analiza mucho más de lo que sucede en el entorno, no solo el tráfico web.

En resumen, el valor de un IPS dependerá del riesgo. Ciertamente, hay escenarios en los que uno elegiría instalar un IPS en este escenario incluso si solo proporcionara redundancia y ninguna funcionalidad adicional: el enfoque de "cinturón y tirantes". Si proteger un sitio web personal, probablemente no valga la pena, si proteger miles de millones de dólares en propiedad intelectual, es más probable que tenga valor.

Answer

Pregunta: ¿Existe algún valor agregado en este escenario al contar también con una solución IPS/Inspección profunda de paquetes? Por lo que tengo entendido: No. Pero no encontré ninguna respuesta clara.

Para responder a la pregunta, primero analicemos el término clave "valor". Lo que estamos haciendo aquí es preguntar "¿cuál es el valor de un control de seguridad?".

Se implementan controles de seguridad (WAF, IPS, firewalls SPI como ejemplos de controles técnicos de seguridad) para gestionar el riesgo. Normalmente no se implementarían controles de seguridad que cuesten más que la pérdida esperada a lo largo del tiempo por no tener el control, y se implementarían aquellos que cuesten menos que la pérdida esperada a lo largo del tiempo.

Si tiene algún valor instalar un IPS cuando hay un firewall limitado a un puerto y un WAF, realmente se hace esta pregunta: ¿la pérdida esperada se basa en cómo está configurado todo en ese momento menos la pérdida esperada después de que se haya instalado el IPS? se han implementado fondos mayores que el costo del IPS. Si la respuesta es yesentonces no hayvaloren poner un IPS, ya que el costo de ponerlo es mayor que el beneficio que brinda. Este es un ejemplo del proceso de gestión de riesgos en acción.

Cuando se trata de esta situación particular, no hay suficiente información para responder definitivamente a la pregunta. Cualquier respuesta técnica dada no servirá. Incluso si tuviéramos toda la información, que sería extensa, hay suficientes variaciones en cómo las personas calculan el riesgo que definitivamente no podríamos hacer nada más que dar "una manera de hacerlo", y posiblemente la respuesta más larga de Serverfault jamás creada. :-)

Sin embargo, en términos generales, estas son áreas donde un IPS (aquí combinaremos HIPS y NIPS para simplificar) brinda oportunidades de valor cuando se implementa junto con las soluciones existentes:

Para los casos en los que hay un cruce de funcionalidades, como control secundario si el firewall o WAF estuvo mal configurado o comprometido, no detecta la amenaza o detecta la amenaza por un método diferente, aumentando así la probabilidad de detectar técnicas de evasión de detección.
Para casos en los que el IPS proporciona protección adicional que aún no se proporciona. Esto depende del producto y de la implementación, pero puede incluir cosas como...
- Bloquear direcciones IP maliciosas conocidas
- Bloqueo basado en la correlación de eventos, por ejemplo. IP que se han detectado como escaneo de puertos antes de enviar las solicitudes HTTP
- Prevenir/detectar modificaciones de archivos por procesos no autorizados
- Muchos otros
Para una mayor visibilidad. El IPS generalmente podrá brindarle más visibilidad del panorama de amenazas, ya que analiza mucho más de lo que sucede en el entorno, no solo el tráfico web.

En resumen, el valor de un IPS dependerá del riesgo. Ciertamente, hay escenarios en los que uno elegiría instalar un IPS en este escenario incluso si solo proporcionara redundancia y ninguna funcionalidad adicional: el enfoque de "cinturón y tirantes". Si proteger un sitio web personal, probablemente no valga la pena, si proteger miles de millones de dólares en propiedad intelectual, es más probable que tenga valor.

Question 2

No necesita utilizar la inspección de paquetes si configura su firewall correctamente. pero aún necesita IPS/IDS y verificación de integridad aunque solo tenga un servidor simple con servicios mínimos.
considere estas situaciones:

Si hay un método/firma de ataque desconocido a su WAF, prácticamente su WAF es inútil contra ese tipo de amenaza (especialmente vulnerabilidades de día cero). En esta situación, monitorear la actividad de los usuarios y verificar la integridad del sistema es una medida inteligente. El uso de herramientas de auditoría puede ayudarle y advertirle sobre amenazas sospechosas (pero no conocidas). sin embargo, necesita más recursos, reglas de auditoría personalizadas y controles constantes.
pasar por alto WAF no es imaginario. en este, IPS/IDS o cualquier otro mecanismo de escaneo aumentan su nivel de seguridad como segunda capa de defensa. Incluso si tu WAF falla.

Si le preocupa su configuración, pero no desea utilizar una solución complicada o costosa, puedecombinarherramientas muy básicas como"iptables"reglas personalizadas con"SElinux"y"AYUDANTE"para un plan de seguridad más sólido.

Answer

No necesita utilizar la inspección de paquetes si configura su firewall correctamente. pero aún necesita IPS/IDS y verificación de integridad aunque solo tenga un servidor simple con servicios mínimos.
considere estas situaciones:

Si hay un método/firma de ataque desconocido a su WAF, prácticamente su WAF es inútil contra ese tipo de amenaza (especialmente vulnerabilidades de día cero). En esta situación, monitorear la actividad de los usuarios y verificar la integridad del sistema es una medida inteligente. El uso de herramientas de auditoría puede ayudarle y advertirle sobre amenazas sospechosas (pero no conocidas). sin embargo, necesita más recursos, reglas de auditoría personalizadas y controles constantes.
pasar por alto WAF no es imaginario. en este, IPS/IDS o cualquier otro mecanismo de escaneo aumentan su nivel de seguridad como segunda capa de defensa. Incluso si tu WAF falla.

Si le preocupa su configuración, pero no desea utilizar una solución complicada o costosa, puedecombinarherramientas muy básicas como"iptables"reglas personalizadas con"SElinux"y"AYUDANTE"para un plan de seguridad más sólido.

Question 3

Puede configurar el WAF en DMZ para proteger el tráfico de Internet. Además, IDS/IPS plus DPI se puede utilizar en la red interna, activa o pasiva (en línea o no).

Answer

Puede configurar el WAF en DMZ para proteger el tráfico de Internet. Además, IDS/IPS plus DPI se puede utilizar en la red interna, activa o pasiva (en línea o no).

¿Tiene sentido aumentar WAF (Web Application Firewall) con un IPS (Sistema de prevención de intrusiones)?

Respuesta1

Respuesta2

Respuesta3

información relacionada