Infomach

WAF vs IPS: Comparação e Diferenças

Um dos ativos mais valiosos da empresa são seus dados. Os hackers certamente sabem disso. E usam vários métodos para atacar empresas e acessar as informações confidenciais. Os ataques nos protocolos de rede ocorrem em camadas separadas, e cada camada precisa de mecanismos de segurança distintos para se defender.As camadas de proteção são várias, neste artigo vamos discutir duas opções: Web Application Firewall (WAF) e o Intrusion Prevention System (IPS). Vou tentar simplificar as duas camadas, e dar um comparativo claro para o uso e benefício de cada uma.

Primeiro vamos discutir WAF e IPS

Firewall de aplicativo da Web (WAF)

WAF é uma solução (software ou hardware) que atua como intermediária entre aplicações web e usuários externos. Isso garante que o WAF análise toda a comunicação HTTP (solicitação-resposta) antes de atingir os aplicativos ou usuários da Web. Para rastrear e analisar o tráfego HTTP, o WAF aplica regras previamente definidas que possibilitam detectar solicitações HTTP maliciosas. Quando o WAF detecta uma ameaça, ele bloqueia o tráfego e rejeita a solicitação. Se não houver ataques ou ameaças, todo o tráfego normalmente fluirá.

Sistema de Prevenção de Intrusão (IPS)

Um Sistema de Prevenção de Intrusão (IPS) é um tipo de segurança de rede que funciona para identificar ameaças detectadas e preveni-las. Os sistemas de prevenção de intrusão rastreiam a rede continuamente, procurando por possíveis eventos maliciosos e coletando informações sobre eles. O IPS relata esses incidentes aos administradores de rede e toma medidas proativas para evitar possíveis ataques. As ferramentas IPS também podem ser usadas para detectar problemas com políticas de segurança corporativa. Ele age impedindo que funcionários e visitantes da rede violem as regras encontradas em tais políticas.

WAF vs IPS: Principal diferença

Um IPS é simplesmente baseado em assinaturas e não tem conhecimento de sessões e usuários que tentam acessar um aplicativo da web. Por outro lado, um WAF detecta os usuários e programas que tentam acessar um aplicativo da web. A diferença significativa entre as duas tecnologias é o nível de inteligência necessário para analisar o tráfego na camada 7.

WAF: Decide se deve permitir ou bloquear o tráfego de rede na camada do aplicativo com base no conteúdo da comunicação.

IPS: Monitora o SO e o tráfego de rede para evitar comunicações e alterações não autorizadas.

Conclusão

Concluindo, o WAF é útil para proteger aplicativos HTTP e normalmente é usado para proteger servidores. Ele reconhece o tráfego da Web como HTTP GET, POST, URL, SSL, etc. Por outro lado, o IPS fornece proteção para uma ampla variedade de protocolos de rede e pode realizar decodificação de protocolo cru e detectar comportamento anormal. O IPS não reconhece sessões (GET/POST), usuários ou mesmo aplicativos.

É claro que mesmo as duas soluções fornecem uma camada extra de segurança para nossa rede, eles operam em tipos de tráfego específicos. E muitas vezes se complementam em vez de competir. Embora o IPS pareça proteger o tráfego mais amplo, há um tipo de tráfego particular com o qual apenas um WAF pode trabalhar. Portanto, é recomendável ter as duas soluções, principalmente quando vocês têm aplicação WEB importante publicada para a internet.

Tabela comparativa simples

PARAMETROWAFIPS/IDS
Abreviação deWeb Application firewallIntrusion Prevention System/Intrusion Detection System
FuncionalidadeOs WAFs são projetados para proteger aplicativos/servidores da Web contra ataques baseados na Web que os IPSs não podem impedir.Analise o tráfego em busca de assinaturas ou violações de política
localizaçãoColocado antes de aplicativos voltados para a Web na zona de rede voltada para a Web/DMZGeralmente nos pontos de entrada de saída, ou seja, perímetro da rede
Inspeção deSessõesPacotes
EscopoHTTP/HTTPSProtocolos de rede e aplicativos de rede
 Beneficio– Protege o aplicativo- Procura lógica maliciosa- Reforça a lógica e o comportamento– Protege o sistema operacional e o aplicativo- Aplica protocolos- Procura por cargas maliciosas
Trabalha na camadaCamada 7Camada 4-7
Tipo de instalaçãoProxy reverso explícito, modo transparente, conectado via TAP ou através da porta SPANModo transparente, conectado via TAP ou através da porta SPAN
Algoritmo de detecção– Baseado em assinatura- Detecção de anomalia- Heurística– Baseado em assinatura- Baseado em protocolo- Detecção de anomalia- Heurística
Funcionalidade de descarga SSLSimNao
Execute o balanceamento de carga do servidorSimNao
Executa a autenticação do usuárioSimNao
Proteção DDOSNa Camada 7Sim
FuncionamentoO WAF opera na camada de aplicação onde HTML, XML, Cookies, Javascript, ActiveX, solicitações do cliente e respostas do servidor funcionamAnalise o tráfego em busca de assinaturas ou violações de política
Criptografia/DescriptografiaCompatívelNao Compatível

Publicado por: Fouad Ata CTO @ Infomach | CCNA, CCNP | CheckPoint CCSA CCSE | ITIL V3 | MCP,MCSA, MCSE | CEH | AWS Architect | CNSS | MGMT 3.0 | CISO

Quer saber mais sobre WAF, IPS e segurança da informação? Fale com um especialista Infomach em https://info.infomach.com.br/contato_especialista ou ligue 0800 494 9001

Sair da versão mobile