以下场景:
- Web 应用程序,仅限 HTTP/S 流量
- 防火墙仅允许端口 80/443 上的流量
- WAF 已到位,将拒绝恶意流量
问题:在这种情况下,采用 IPS/深度包检测解决方案是否有任何附加价值?据我所知:没有。但我没有找到任何明确的答案。
答案1
问题:在这种情况下,采用 IPS/深度包检测解决方案是否有任何附加价值?据我所知:没有。但我没有找到任何明确的答案。
要回答这个问题,首先让我们来解读一下关键词“价值”。我们在这里要问的是“安全控制的价值是什么?”。
安全控制措施(WAF、IPS、SPI 防火墙是技术安全控制措施的例子)用于管理风险。如果安全控制措施的成本高于没有控制措施时预期的长期损失,则通常不会实施这些措施,而如果安全控制措施的成本低于预期的长期损失,则会实施这些措施。
当防火墙仅限于一个端口并且已部署 WAF 时,部署 IPS 是否有任何价值,这实际上是在问这个问题:基于当前所有设置情况的预期损失减去部署 IPS 后的预期损失是否大于 IPS 的成本。如果答案是,yes
那么就没有价值实施 IPS 的成本高于其带来的收益。这是风险管理流程实际应用的一个例子。
对于这种特殊情况,没有足够的信息来明确回答这个问题。任何技术答案都无法解决这个问题。即使我们拥有所有信息(这些信息非常广泛),人们计算风险的方式也存在很多差异,我们除了给出“一种方法”外,肯定什么也做不了,这可能是有史以来最长的 Serverfault 答案 :-)
但一般而言,在以下领域中,IPS(为简单起见,我们在这里将 HIPS 和 NIPS 合并)与现有解决方案一起实施时能够提供价值机会:
- 对于功能存在交叉的情况,如果防火墙或 WAF 配置错误或受到损害,则作为辅助控制,不会发现威胁,或者通过不同的方法检测威胁,从而增加检测到逃避检测技术的概率。
- 适用于 IPS 提供尚未提供的额外保护的情况。这取决于产品和实施,但可能包括以下内容...
- 阻止已知恶意 IP 地址
- 根据事件关联进行阻止 - 例如,在发送 HTTP 请求之前已发现进行端口扫描的 IP
- 防止/检测未经授权的进程对文件进行修改
- 好多其它的
- 为了提高可见性。IPS 通常能够让您更好地了解威胁形势,因为它会查看环境中发生的更多情况,而不仅仅是网络流量。
总之,IPS 是否有价值取决于风险。当然,在某些情况下,人们会选择安装 IPS,即使它只提供冗余而没有额外的功能 - “双保险”方法。如果保护个人网站,可能不值得,如果保护价值数十亿美元的知识产权,则更有可能有价值。
答案2
如果您正确设置了防火墙,则不需要使用数据包检查。但即使您只有一台具有最少服务的简单服务器,您仍然需要 IPS/IDS 和完整性检查。
请考虑以下情况:
- 如果您的 WAF 受到未知的攻击方法/特征,那么您的 WAF 实际上对这种威胁(特别是零日漏洞)是无效的。在这种情况下,监控用户活动和检查系统完整性是一个明智之举。使用审计工具可能会有所帮助并警告您可疑(但未知)的威胁。但是,它需要更多的资源、定制的审计规则和不断的检查。
- 绕过 WAF 并非空想。在这方面,IPS/IDS 或任何其他扫描机制都会作为第二层防御提高您的安全级别。即使您的 WAF 失败。
如果您担心您的设置,但又不想使用复杂或昂贵的解决方案,您可以结合非常基本的工具,例如“iptables”定制规则“SElinux”和“助手”以制定更强有力的安全计划。
答案3
您可以在 DMZ 中设置 WAF 来保护互联网流量。此外,IDS/IPS 加 DPI 可以在内部网络中使用,主动或被动(内联或非内联)。