IT-säkerhet Teknik

Web Application Firewall vs Intrusion Prevention System

Vi är alla bekanta med Intrusion Prevention System (IPS). Men vad är allt detta prat om Web Application Firewall (WAF)? Vad är en Web Application Firewall och hur skiljer den sig från en IPS? Först, låt oss ta en snabb titt på Intrusion Prevention, dess fördelar och nackdelar. Sen tittar vi på hur en WAF fungerar och hur den skiljer sig från en IPS.

Intrusion Prevention System (IPS)

En IPS analyserar nätverkstrafik, den inspekterar paketen som strömmar genom den. Den fungerar på samma sätt som en Intrusion Detection System (IDS) genom att försöka matcha data i paketen mot en signaturdatabas och upptäcka avvikelser mot vad som är fördefinierad som "normal" trafik. Utöver sin IDS funktionalitet, så kan en IPS göra mer än bara logga och larma. Den kan konfigureras så att den reagerar på vad den upptäcker. Förmågan att reagera på vad den upptäckter är det som gör att en IPS är att föredra framför en IDS.

Det finns dock några nackdelar med en IPS. En IPS är utformad för att blockera en viss typ av trafik som den kan identifiera som potentiellt skadlig trafik. Den kan dessvärre inte förstå logiken i webbapplikationsprotokoll, d.v.s. en IPS kan inte fullt ut särskilja på om trafiken är normal eller skadlig (på applikationslager nivå, OSI Layer 7). Detta skulle kunna innebära att en hackerattack slinker igenom utan att den upptäcks eller stoppas, särskilt attacker där signaturfiler saknas.

Eftersom det finns ett stort antal både kommersiella och hemodlade webbapplikationer, så existerar det en hel del olika typer av sårbarheter som en angripare lätt kan utnyttja. En IPS kan inte på ett tillräckligt effektivt sätt täcka alla potentiella sårbarheter och det kan i förlängningen ge mer felaktiga bedömningar av trafiken så kallade false positives. En överbelastning av false positives kan fördröja och försvåra hanteringen av verkliga attacker eller resultera i att verkliga attacker accepteras som normal trafik.

En Host-based IPS (HIPS) är lite mer granulär än en nätverks IPS (NIPS). En HIPS kan övervaka tillämpningar i applikationslagret (OSI Layer 7), d.v.s. den förstår logiken lite bättre i webbapplikationen. Men en HIPS saknar fortfarande en stor del av förståelsen av både språket och logiken i webbapplikationen.

Det är här Web Application Firewall kommer in i bilden som ett svar på dessa brister.

Web Application Firewall (WAF)

En WAF är utformad för att skydda webbapplikationer/servrar från webbaserade attacker som en IPS inte kan förhindra. En WAF kan vara nätverks- eller hostbaserad. En WAF övervakar trafiken till och från webbapplikationer/servrar. Enkelt förklarat så ligger skillnaden i förmågan att analysera logiken i (OSI Layer 7) webbapplikationer.

En IPS analyserar trafiken mot signaturer och anomalier, en WAF analyserar beteende och logiken i webbtrafiken (http request) i bägge riktningar. En WAF skyddar mot de hot webbapplikationen utsätts för som SQL-injektion, cross-site scripting, sessionskapningar, parameter- och URL-manipulationer och buffer overflows. En WAF gör det på samma sätt som en IPS gör, genom att analysera innehållet i varje inkommande och utgående paket.

En WAF sitter framför webbapplikationen/servern där den kan se trafiken till och från webapplikationen/servern. En WAF ser inte all trafik i nätverket utan bara det som passerar till och från webapplikationen/servern. Genom att övervaka trafiken innan den når webbapplikation kan en WAF analysera förfrågningarna innan de skickas vidare in till webapplikationen. Det är detta som ger den en fördel över en IPS. Eftersom en IPS är utformad för att inspektera all nätverkstrafik så kan den inte analysera applikationslagret så grundligt.

En WAF upptäcker inte bara attacker som är kända att förekomma i webbapplikationsmiljöer, de kan också upptäcka och förhindra nya okända typer av attacker. Genom att titta på ovanliga eller oväntade mönster i trafiken kan den larma eller stoppa okända attacker. Exempelvis, om en WAF upptäcker att en specifik förfrågan utifrån till webapplikationen gör att applikationen svarar med mycket mer data än vad den förväntas göra kan en WAF blockera trafiken och varna.

Kontakta oss så berättar vi mer och visar hur en WAF fungerar i praktiken

 

Tobias Wedin

Tobias är Pre Sales Engineer med inriktning på säkerhet på Inuit.