IPS və WAF (Intrusion Prevention Systems- Web Application Firewall)

Məqaləyə keçid etməzdən əvvəl diqqətinizə çatdırmaq istərdim ki,
http://www.technet.az/2013/07/29/firewall-idsips-1/,
http://www.technet.az/2013/08/29/firewall-idsips-2/
,
http://www.technet.az/2013/11/22/firewall-idsips-3/
,
bu linklərindən istifadə etməklə İPS haqqinda məlumatları əldə edə bilərsiz.

Bu məqaləmizdə İPS və WAF texnologiyası haqqında qısa məlumat və  əsasəndə onlar arasındakı fərqlər izah olunacaq. Yuxarıdakı məqalələrlə tanışlıqdan sonra bizim kifayət qədər İPS haqqında məlumatımız olacaqdır və bu texnologiyanın  nə işinə yaradığını  öyrənmiş olarıq.  Web Application Firewalls gəldikdə bu texnologiya haqqında  bütün məlumatlar olacaqdır.  İlk öncə İPS  sisteminə bir nəzər salaq.

İPS adətən kanal daxili yerləşdirilir və gedən-qayıdan paketlər onun daxilindən süzülərək daxilə və xaricə çıxır. Bu hal İDS-də olduğu kimi  eynidir- yəni daxil olan paketləri bazada qeyd olunmuş  qaydalara əsasən anomaliyaya qarşı yoxlanılır. İDS-dən fərqli olaraq İPS sadəcə  baş verən problemləri qeydə almır  həmçinin  bunların qarşısını almaq imkanına malikdi. İPS bu bacarığına görə o  İDS-dən daha çox fərqlənir.

Lakin burada bəzi  çatışmamazlıqlar vardır. İPS dizayn olunub ki  pis trafiki  təyin etsin  və onun qarşısını alsın yəni onda qeyd olunmuş qaydalara əsasən  təyin etdiyi pis trafiki blok etməklə. Beləki  İPS veb tərtibatların işləmə prinsipləri haqqında bacarığı çox azdır. Hələki İPS paketlərin arasında veb tərtibatlara aid olan sorğuların normal və yaxud xətalı olmasını ayıra bilmir. Bu əskiklik yeni hücumların və tərtibatlardakı boşluqların, yaranacaq hər hansı bir xətanınbaş verməsinə imkan yaradır.

Müxtəlif sayda veb səhiflər mövcuddur ki, müxtəlif çatışmamazlıqlara və  boşluqlara malikdirlər. İPS bütün bu boşluqların qarşısını almaqda acizdir və buna görədə bir çox problemlərin qarşısı alınmır və çoxlu false-positive-lər yaranır. False-positive normal   şablonların basqın ya hücum kimi qeydə alınması nəzərdə tutulur.

Çoxlu veb tərtibatların mövcud  olması həm şəxsi həmdə kommersiya təşkilatları üçün müxtəlif sayda boşluqlrın olması deməkdir. İPS bu boşluqlara görə  xeyli sayda “false positive”  siqnallar yarada biler. “False positive”  həyacan siqnalları  təhlükəsizlik analistlərin boşuna  vaxt itikisinə gətirir və əbəs yerə əlavə əlahiddə tədbirlərin görülməsinə gətirib çıxarır.  “False positive”-lər  sistemin  yüklənməsinə yol açır buda  real baş verən hücumların müəyyən olunmasına cətinliklər yaradır. Nəticədə yaranmış problemlər analist tərəfindən analiz olunana kimi biznesə müxtəlif  dərəcədə ziyanlar dəymiş olur. Buradan bir amildə irəli gəlir ki, analist “false positive”-ləri müəyyən edərkən,  yüklənməni azaltmaq üçün bu sorğuları istisna edir. Lakin həmin istisnalarla  eyni zamanda real həmlələrdə buraxıla bilər buda təşkilata mənfi təsirlər yol açır.

HİPS- Host İPS,  bir az fərqlidi İPS-dən.  HİPS-in imkanları İPS-ə nəzərən daha çoxdu. HİPS OSİ  7 təbəqəsində yerləşən “Application layer” monitor etməyi və WAF-ın bəzi xüsusiyyətlərini client səviyyəsində  yerinə yetirmək imkanı vardır. Lakin HİPs veb tərtibatların yazılış tərzinin və loqikasını başa düşmürlər. Bütün bunlara cavab olaraq biz  WAF-Web Application Firewall qeyd etmək istərdim.

waf-and IPS

WAF-Web Application Firewall

WAF veb tərtibatların müxtəlif hücumlardan qorunması üçün dizayn olunmuşdur. İPS kimi WAF həm avadanlıq səviyyəsində həmdə kompüterə yazıla bilər. Bu cihaz kanal daxilində  qurulur və veb   tərtibatlara yaxud serverə gedən ya gələn  məlumatları monitor edir. Bir sözlə OSİ modelin 7 səviyyəsində işləyən bir texnologiyadır.  İPS-dən fərqli olaraq WAF  sorğu və cavabları davranış və loqikasına əsasən yoxlayır. Yəni gələn ya gedən hər bir məlumatın standart davranış qaydaları vardır və bu  sorğular fərqli olarsa o zaman onlar pis  yaxud zərərli sorğu kimi qeydə alınır. WAF  veb  tərtibatları  SQL müdaxilələrdən, veb səhifələrini müxtəlif senarilərlə giriş etmək, sesiyalara müdaxilə olunması, parameter yaxud  URL  sonluglarına müxtəlif dəyişikliklər etməklə sistemin resurslarını tükədilməsinin qaşısını alır. İPS kimi WAF-da gələn sorğuların tərkibini analiz edir və onların girişinə- çıxışına qərar verir. WAF adətən Proxy  formasında veb tərtibatların qarşısında qurulur buda kanalda olan digər trafiklərin təcrid  olunmasına kömək edir. WAF sorğuları yalnız monitor və analiz etdikdən sonra girişinə icazə verir. Məhz buna görə WAF İPS-dən fərglənir. WAF nəinki veb mühütini qorumaqla hətta yeni  yaradılmış  müdaxilə metodlarındanda qorunmağa şərait yaradır. Bu zaman o sorğuları analiz etməklə qeyri-adi  trafiklərin qarşısını alır və onların  müdaxiləsi haqda  məktub ya digər vasitələrlə məlumat verir. Misal üçün, əgər tərtibat  gözləniləndən daha çox məlumat   daşıyırsa o blok olunur və bu haqda məlumat verir.

WAF haqqında onu deyə bilərəm ki,  İPS-dən fərqli olaraq daha dərin və mütəşəkkildi. Veb tərtibatların daha dərindən mühafizə olunması və əsassiz müdaxilələrdən qorunmaq  üçün bir səviyyə yuxarı olan bir təhlükəsizlik  avadanlığıdı.

Sonda onuda qeyd edim ki, insan faktoru İT sahəsində təhlükəsizliyin qorunmasında önəmli rol oynayır. Mən deyərdim ki, daha vacib amillərdən  biri kimi çıxış edir

Səs: +80. Bəyənilsin Zəifdir

Müəllif: Ağa Hüseynov

Şərhlər ( IPS və WAF (Intrusion Prevention Systems- Web Application Firewall) )

  1. Ağa bəy, gözəl məqalə üçün təşəkkürlər.

Şərh yazın