Um dos ativos mais valiosos da empresa são seus dados. Os hackers certamente sabem disso. E usam vários métodos para atacar empresas e acessar as informações confidenciais. Os ataques nos protocolos de rede ocorrem em camadas separadas, e cada camada precisa de mecanismos de segurança distintos para se defender.As camadas de proteção são várias, neste artigo vamos discutir duas opções: Web Application Firewall (WAF) e o Intrusion Prevention System (IPS). Vou tentar simplificar as duas camadas, e dar um comparativo claro para o uso e benefício de cada uma.
Primeiro vamos discutir WAF e IPS
Firewall de aplicativo da Web (WAF)
WAF é uma solução (software ou hardware) que atua como intermediária entre aplicações web e usuários externos. Isso garante que o WAF análise toda a comunicação HTTP (solicitação-resposta) antes de atingir os aplicativos ou usuários da Web. Para rastrear e analisar o tráfego HTTP, o WAF aplica regras previamente definidas que possibilitam detectar solicitações HTTP maliciosas. Quando o WAF detecta uma ameaça, ele bloqueia o tráfego e rejeita a solicitação. Se não houver ataques ou ameaças, todo o tráfego normalmente fluirá.
Sistema de Prevenção de Intrusão (IPS)
Um Sistema de Prevenção de Intrusão (IPS) é um tipo de segurança de rede que funciona para identificar ameaças detectadas e preveni-las. Os sistemas de prevenção de intrusão rastreiam a rede continuamente, procurando por possíveis eventos maliciosos e coletando informações sobre eles. O IPS relata esses incidentes aos administradores de rede e toma medidas proativas para evitar possíveis ataques. As ferramentas IPS também podem ser usadas para detectar problemas com políticas de segurança corporativa. Ele age impedindo que funcionários e visitantes da rede violem as regras encontradas em tais políticas.
WAF vs IPS: Principal diferença
Um IPS é simplesmente baseado em assinaturas e não tem conhecimento de sessões e usuários que tentam acessar um aplicativo da web. Por outro lado, um WAF detecta os usuários e programas que tentam acessar um aplicativo da web. A diferença significativa entre as duas tecnologias é o nível de inteligência necessário para analisar o tráfego na camada 7.
WAF: Decide se deve permitir ou bloquear o tráfego de rede na camada do aplicativo com base no conteúdo da comunicação.
IPS: Monitora o SO e o tráfego de rede para evitar comunicações e alterações não autorizadas.
Conclusão
Concluindo, o WAF é útil para proteger aplicativos HTTP e normalmente é usado para proteger servidores. Ele reconhece o tráfego da Web como HTTP GET, POST, URL, SSL, etc. Por outro lado, o IPS fornece proteção para uma ampla variedade de protocolos de rede e pode realizar decodificação de protocolo cru e detectar comportamento anormal. O IPS não reconhece sessões (GET/POST), usuários ou mesmo aplicativos.
É claro que mesmo as duas soluções fornecem uma camada extra de segurança para nossa rede, eles operam em tipos de tráfego específicos. E muitas vezes se complementam em vez de competir. Embora o IPS pareça proteger o tráfego mais amplo, há um tipo de tráfego particular com o qual apenas um WAF pode trabalhar. Portanto, é recomendável ter as duas soluções, principalmente quando vocês têm aplicação WEB importante publicada para a internet.
Tabela comparativa simples
| PARAMETRO | WAF | IPS/IDS |
| Abreviação de | Web Application firewall | Intrusion Prevention System/Intrusion Detection System |
| Funcionalidade | Os WAFs são projetados para proteger aplicativos/servidores da Web contra ataques baseados na Web que os IPSs não podem impedir. | Analise o tráfego em busca de assinaturas ou violações de política |
| localização | Colocado antes de aplicativos voltados para a Web na zona de rede voltada para a Web/DMZ | Geralmente nos pontos de entrada de saída, ou seja, perímetro da rede |
| Inspeção de | Sessões | Pacotes |
| Escopo | HTTP/HTTPS | Protocolos de rede e aplicativos de rede |
| Beneficio | – Protege o aplicativo- Procura lógica maliciosa- Reforça a lógica e o comportamento | – Protege o sistema operacional e o aplicativo- Aplica protocolos- Procura por cargas maliciosas |
| Trabalha na camada | Camada 7 | Camada 4-7 |
| Tipo de instalação | Proxy reverso explícito, modo transparente, conectado via TAP ou através da porta SPAN | Modo transparente, conectado via TAP ou através da porta SPAN |
| Algoritmo de detecção | – Baseado em assinatura- Detecção de anomalia- Heurística | – Baseado em assinatura- Baseado em protocolo- Detecção de anomalia- Heurística |
| Funcionalidade de descarga SSL | Sim | Nao |
| Execute o balanceamento de carga do servidor | Sim | Nao |
| Executa a autenticação do usuário | Sim | Nao |
| Proteção DDOS | Na Camada 7 | Sim |
| Funcionamento | O WAF opera na camada de aplicação onde HTML, XML, Cookies, Javascript, ActiveX, solicitações do cliente e respostas do servidor funcionam | Analise o tráfego em busca de assinaturas ou violações de política |
| Criptografia/Descriptografia | Compatível | Nao Compatível |
Publicado por: Fouad Ata CTO @ Infomach | CCNA, CCNP | CheckPoint CCSA CCSE | ITIL V3 | MCP,MCSA, MCSE | CEH | AWS Architect | CNSS | MGMT 3.0 | CISO
Quer saber mais sobre WAF, IPS e segurança da informação? Fale com um especialista Infomach em https://lp.infomach.com.br/contato ou ligue 0800 494 9001
