IPS və WAF (Intrusion Prevention Systems- Web Application Firewall)
Məqaləyə keçid etməzdən əvvəl diqqətinizə çatdırmaq istərdim ki,
http://www.technet.az/2013/07/29/firewall-idsips-1/,
http://www.technet.az/2013/08/29/firewall-idsips-2/,
http://www.technet.az/2013/11/22/firewall-idsips-3/,
bu linklərindən istifadə etməklə İPS haqqinda məlumatları əldə edə bilərsiz.
Bu məqaləmizdə İPS və WAF texnologiyası haqqında qısa məlumat və əsasəndə onlar arasındakı fərqlər izah olunacaq. Yuxarıdakı məqalələrlə tanışlıqdan sonra bizim kifayət qədər İPS haqqında məlumatımız olacaqdır və bu texnologiyanın nə işinə yaradığını öyrənmiş olarıq. Web Application Firewalls gəldikdə bu texnologiya haqqında bütün məlumatlar olacaqdır. İlk öncə İPS sisteminə bir nəzər salaq.
İPS adətən kanal daxili yerləşdirilir və gedən-qayıdan paketlər onun daxilindən süzülərək daxilə və xaricə çıxır. Bu hal İDS-də olduğu kimi eynidir- yəni daxil olan paketləri bazada qeyd olunmuş qaydalara əsasən anomaliyaya qarşı yoxlanılır. İDS-dən fərqli olaraq İPS sadəcə baş verən problemləri qeydə almır həmçinin bunların qarşısını almaq imkanına malikdi. İPS bu bacarığına görə o İDS-dən daha çox fərqlənir.
Lakin burada bəzi çatışmamazlıqlar vardır. İPS dizayn olunub ki pis trafiki təyin etsin və onun qarşısını alsın yəni onda qeyd olunmuş qaydalara əsasən təyin etdiyi pis trafiki blok etməklə. Beləki İPS veb tərtibatların işləmə prinsipləri haqqında bacarığı çox azdır. Hələki İPS paketlərin arasında veb tərtibatlara aid olan sorğuların normal və yaxud xətalı olmasını ayıra bilmir. Bu əskiklik yeni hücumların və tərtibatlardakı boşluqların, yaranacaq hər hansı bir xətanınbaş verməsinə imkan yaradır.
Müxtəlif sayda veb səhiflər mövcuddur ki, müxtəlif çatışmamazlıqlara və boşluqlara malikdirlər. İPS bütün bu boşluqların qarşısını almaqda acizdir və buna görədə bir çox problemlərin qarşısı alınmır və çoxlu false-positive-lər yaranır. False-positive normal şablonların basqın ya hücum kimi qeydə alınması nəzərdə tutulur.
Çoxlu veb tərtibatların mövcud olması həm şəxsi həmdə kommersiya təşkilatları üçün müxtəlif sayda boşluqlrın olması deməkdir. İPS bu boşluqlara görə xeyli sayda “false positive” siqnallar yarada biler. “False positive” həyacan siqnalları təhlükəsizlik analistlərin boşuna vaxt itikisinə gətirir və əbəs yerə əlavə əlahiddə tədbirlərin görülməsinə gətirib çıxarır. “False positive”-lər sistemin yüklənməsinə yol açır buda real baş verən hücumların müəyyən olunmasına cətinliklər yaradır. Nəticədə yaranmış problemlər analist tərəfindən analiz olunana kimi biznesə müxtəlif dərəcədə ziyanlar dəymiş olur. Buradan bir amildə irəli gəlir ki, analist “false positive”-ləri müəyyən edərkən, yüklənməni azaltmaq üçün bu sorğuları istisna edir. Lakin həmin istisnalarla eyni zamanda real həmlələrdə buraxıla bilər buda təşkilata mənfi təsirlər yol açır.
HİPS- Host İPS, bir az fərqlidi İPS-dən. HİPS-in imkanları İPS-ə nəzərən daha çoxdu. HİPS OSİ 7 təbəqəsində yerləşən “Application layer” monitor etməyi və WAF-ın bəzi xüsusiyyətlərini client səviyyəsində yerinə yetirmək imkanı vardır. Lakin HİPs veb tərtibatların yazılış tərzinin və loqikasını başa düşmürlər. Bütün bunlara cavab olaraq biz WAF-Web Application Firewall qeyd etmək istərdim.
WAF-Web Application Firewall
WAF veb tərtibatların müxtəlif hücumlardan qorunması üçün dizayn olunmuşdur. İPS kimi WAF həm avadanlıq səviyyəsində həmdə kompüterə yazıla bilər. Bu cihaz kanal daxilində qurulur və veb tərtibatlara yaxud serverə gedən ya gələn məlumatları monitor edir. Bir sözlə OSİ modelin 7 səviyyəsində işləyən bir texnologiyadır. İPS-dən fərqli olaraq WAF sorğu və cavabları davranış və loqikasına əsasən yoxlayır. Yəni gələn ya gedən hər bir məlumatın standart davranış qaydaları vardır və bu sorğular fərqli olarsa o zaman onlar pis yaxud zərərli sorğu kimi qeydə alınır. WAF veb tərtibatları SQL müdaxilələrdən, veb səhifələrini müxtəlif senarilərlə giriş etmək, sesiyalara müdaxilə olunması, parameter yaxud URL sonluglarına müxtəlif dəyişikliklər etməklə sistemin resurslarını tükədilməsinin qaşısını alır. İPS kimi WAF-da gələn sorğuların tərkibini analiz edir və onların girişinə- çıxışına qərar verir. WAF adətən Proxy formasında veb tərtibatların qarşısında qurulur buda kanalda olan digər trafiklərin təcrid olunmasına kömək edir. WAF sorğuları yalnız monitor və analiz etdikdən sonra girişinə icazə verir. Məhz buna görə WAF İPS-dən fərglənir. WAF nəinki veb mühütini qorumaqla hətta yeni yaradılmış müdaxilə metodlarındanda qorunmağa şərait yaradır. Bu zaman o sorğuları analiz etməklə qeyri-adi trafiklərin qarşısını alır və onların müdaxiləsi haqda məktub ya digər vasitələrlə məlumat verir. Misal üçün, əgər tərtibat gözləniləndən daha çox məlumat daşıyırsa o blok olunur və bu haqda məlumat verir.
WAF haqqında onu deyə bilərəm ki, İPS-dən fərqli olaraq daha dərin və mütəşəkkildi. Veb tərtibatların daha dərindən mühafizə olunması və əsassiz müdaxilələrdən qorunmaq üçün bir səviyyə yuxarı olan bir təhlükəsizlik avadanlığıdı.
Sonda onuda qeyd edim ki, insan faktoru İT sahəsində təhlükəsizliyin qorunmasında önəmli rol oynayır. Mən deyərdim ki, daha vacib amillərdən biri kimi çıxış edir
Şərhlər ( 1 )
Ağa bəy, gözəl məqalə üçün təşəkkürlər.