以下場景:
- Web 應用程序,僅 HTTP/S 流量
- 已設定防火牆,僅允許連接埠 80/443 上的流量
- WAF 已到位,設定為拒絕惡意流量
問題:在這種情況下,部署 IPS/深度包裝偵測解決方案是否有任何附加價值?據我所知:沒有。
答案1
問題:在這種情況下,部署 IPS/深度包裝偵測解決方案是否有任何附加價值?據我所知:沒有。
為了回答這個問題,首先讓我們解開它們的關鍵字「價值」。我們在這裡所做的是問「安全控制的價值是什麼?」。
實施安全控制(WAF、IPS、SPI 防火牆是技術安全控制的範例)來管理風險。如果安全控制措施的成本超過了由於沒有控制措施而導致的隨著時間的推移而造成的預期損失,那麼通常不會實施,而成本低於隨著時間的推移而造成的預期損失的安全控制措施通常不會實施到位。
當防火牆僅限於一個連接埠且已部署 WAF 時,放置 IPS 是否有價值,實際上是在問這樣一個問題:預期損失是否基於當前所有設定的方式減去 IPS 啟動後的預期損失?於IPS 的成本。如果答案是,yes那就沒有價值部署 IPS 的成本大於其提供的效益。這是實際風險管理流程的一個範例。
當談到這種特殊情況時,沒有足夠的資訊來明確回答這個問題。給出的任何技術答案都不會做到這一點。即使我們擁有廣泛的所有信息,人們計算風險的方式也存在足夠的差異,除了給出“一種方法”之外,我們絕對無法做任何事情,並且可能是有史以來最長的服務器故障答案:- )
但總的來說,在這些領域,IPS(為簡單起見,我們將 HIPS 和 NIPS 合併在一起)在與現有解決方案一起實施時提供了價值機會:
- 對於功能交叉的情況,如果防火牆或 WAF 配置錯誤或受到損害,則作為輔助控制,不會偵測到威脅,或透過不同的方法偵測威脅,從而增加偵測到偵測規避技術的可能性。
- 適用於 IPS 提供尚未提供的額外保護的情況。這取決於產品和實現,但可能包括...
- 封鎖已知的惡意 IP 位址
- 基於事件相關性的阻塞 - 例如。在傳送 HTTP 請求之前已被視為連接埠掃描的 IP
- 防止/偵測未經授權的程序對文件的修改
- 好多其它的
- 為了提高可見度。 IPS 通常能夠讓您更清楚地了解威脅情況,因為它會查看環境中發生的更多情況,而不僅僅是網路流量。
總而言之,IPS 是否有價值取決於風險。當然,在某些情況下,人們會選擇在這種情況下放入 IPS,即使它僅提供冗餘且不提供附加功能 - “腰帶和支架”方法。如果保護個人網站,可能不值得,如果保護價值數十億美元的智慧財產權,則可能更有價值。
答案2
如果正確設定防火牆,則不需要使用封包檢查。但即使您只有一台具有最少服務的簡單伺服器,您仍然需要 IPS/IDS 和完整性檢查。
考慮這些情況:
- 如果您的 WAF 存在未知的攻擊方法/簽名,那麼實際上您的 WAF 對於此類威脅(特別是零日漏洞)毫無用處。在這種情況下,監視使用者活動並檢查系統完整性是明智之舉。使用審核工具可能會幫助您並向您發出可疑(但未知)威脅的警告。但它需要更多的資源、客製化的審核規則和不斷的檢查。
- 繞過WAF並不是想像的。在這一層中,IPS/IDS 或任何其他掃描機制可作為第二層防禦提升您的安全等級。即使您的 WAF 失敗。
如果您擔心自己的設置,但又不想使用複雜或昂貴的解決方案,您可以結合非常基本的工具,例如“iptables”客製化規則“SElinux”和“助手”以獲得更強有力的安全計劃。
答案3
您可以在 DMZ 中設定 WAF 以保護網路流量。此外,IDS/IPS 加上 DPI 可以在內部網路中使用,無論是主動或被動(內聯或非內聯)。