Call Us Now: 0-2530-2062-4

WAF vs IPS สองสิ่งที่ไม่มีทางเหมือนกัน

คงจะมีหลายคนที่สงสัยนะครับว่า Web Application Firewall หรือที่เรียกว่า WAF เนี่ยมันทำงานอย่างไร มันคล้ายๆกับ Firewall หรือ Intrusion Prevention System(IPS) ในส่วนของ Firewall แบบดั้งเดิม ผมเคยเปรียบเทียบไปแล้วเพื่อนๆลองไปอ่านได้นะครับว่ามันต่างกันอย่างไรใน

ความแตกต่างระหว่าง Web Application Firewall กับ Perimeter Firewall [Episode 1] และ

ความแตกต่างระหว่าง Web Application Firewall กับ Perimeter Firewall [Episode 2]

คราวนี้เราก็มาลองเทียบกับ IPS บ้างที่มีหลายฟังก์ชันของมันทำงานใกล้เคียงกับ WAF แต่มันจะก็ยังไม่สามารถเทียบเท่า WAF ได้ เราจะมาดูกันว่าทำไมถึงเป็นเช่นนั้นนะครับ

Web Application Firewall (WAF) การทำงานของมันทั้งหมดจะมุ่งเน้นเกี่ยวกับ web application ทั้งนั้น

WAF อาจไม่ใช่ไฟร์วอลล์อย่างที่เรารู้จักกันและวิธีการทำงานก็ต่างไปจากไฟร์วอลล์แบบทั่วไปอีกด้วย เช่น จะถูกใช้เมื่อคุณต้องการการถอดรหัส SSL ของข้อมูลการใช้เว็บแอพพลิเคชัน และ การบล็อกภัยคุกคามต่างๆ ที่เกี่ยวกับระดับแอพพลิเคชัน เหล่านี้เป็นเพียงบางส่วนที่ WAF สามารถจะทำได้ เพราะว่า WAF จะจัดการที่ Application Layer เช่น HTML, XML, Cookies, JavaScript, ActiveX, คำร้องขอของผู้ใช้ และการตอบกลับจากเว็บเซิฟเวอร์ ส่วน Intrusion Prevention System(IPS) หรือระบบป้องกันการบุกรุก หน้าที่ของมันคือ ตรวจสอบ packet เพื่อพยายามป้องกันการโจมตีที่อาจเกิดขึ้นและการบุกรุกในระดับเครือข่าย IPS นั้นถูกพัฒนามาจากระบบตรวจจับการบุกรุก หรือ Intrusion Detection Systems(IDS) เป็นระบบที่ควรตรวจสอบข้อมูลซึ่งจะวิเคราะห์ข้อมูลที่เข้ามายังเครือข่ายว่าตรงกับ signature หรือนโยบายความปลอดภัยข้อใดหรือไม่ การทำงานทั้งหมดของอุปกรณ์เหล่านี้ไม่มีการถอดรหัสของข้อมูลที่เป็นความลับหรือถูกเข้ารหัสมาแต่ใช้ชุดของนโยบายหรือชุดของ signature มาตรวจสอบว่าตรงกันหรือไม่สำหรับทุกข้อมูลที่ผ่านมาในเครือข่ายแล้วจะแจ้งยัง IPS

ความแตกต่างของ WAF และ IPS

IPS นั้นจะตรวจสอบแพ็กเกตและบ่อยครั้งที่จะถูกดรอปทิ้งไปเพื่อเพิ่มประสิทธิภาพ ในการทำงานของตัวอุปกรณ์นี่ คืออีกจุดที่แตกต่างเพราะว่า WAF ต้องเก็บแพ็กเกตทั้งหมดไว้เพื่อรักษาข้อมูลของคำร้องจากผู้ใช้งานและลำดับ การตอบรับจากเซิฟเวอร์ ดังนั้น คุณสามารถพูดได้เลยว่า IPS นั้นจะจัดการเพียงพิจารณาแพ็กเกต ขณะที่ WAF จะพิจารณาการทำงานภายในแต่ละ session ของการใช้งานนั้นด้วย

WAF ไม่ใช่แค่เพียงเข้าใจการทำงานของ โปรโตคอล อย่างพวก HTTP GET, POST, HEAD และอื่นๆ แต่ยังต้องรู้พวก JavaScript, SQL, HTML, XML, Cookies และอื่นๆ การทำงานและการจัดการข้อมูลโดยพื้นฐานของ WAF นั้นจะทำงานในระดับ Application layer ซึ่งสำหรับ IPS อาจเป็นเพียงฟังก์ชันเสริมเท่านั้น

IPS และ WAF อาจจะมองว่ามันเหมือนกัน แต่คุณก็เห็นว่าชื่อมันก็ต่างกันแล้ว เช่นนั้น เราลองมาพิจารณาถึงการทำงานพื้นฐานของแต่ละอุปกรณ์กันดีกว่า โดยเริ่มจาก IPS มันจะพิจารณาสถิติการใช้งานของปริมาณงานที่ทำในช่วงเวลาหนึ่ง (throughput)และการไหลของข้อมูล (Traffic flow) ส่วน WAF นั้นจะพิจารณาเกี่ยวกับ URL, Parameter,HTTP Method, Session และ Cookie mapping WAF จะไม่จัดการเรื่องการใช้แบนด์วิสท์ (Bandwidth utilization)ส่วน IPS ก็ไม่รู้ว่า URL ที่ให้พิจารณานั้นใช้วิธีใดในการรับส่งข้อมูล เช่น POST หรือ GET จะเห็นว่า WAF จะเน้นพิจารณาเนื้อในของข้อมูลจริงๆมากกว่า ส่วนการพิจารณาของ IPS นั้น จะดูที่ signature ว่าข้อมูลที่ผ่าน IPS นั้นมีส่วนใดตรงกับฐานข้อมูล signature ที่มีอยู่หรือไม่ ดังนั้นการป้องกันในระดับ Application จึงเป็นไปไม่ได้เลยกับ IPS โดยเฉพาะกับช่องโหว่ของระดับ application หรือบางช่องโหว่ใหม่ๆที่เกิดขึ้นกับ application ที่เขียนขึ้นมาเองของแต่ละองค์กร ในเรื่องนี้ WAF นั้นจะสามารถตรวจสอบและป้องกันได้ไม่เหมือนกับ IPS เพราะว่า WAF นั้นจะมีการตระหนักถึงการใช้งานแอพพลิเคชันจริงๆ

ความต้องการในการติดตั้ง WAF นั้นจะมุ่งเน้นไปที่ป้องกัน Web Application และข้อมูลการใช้งาน Web Application ขณะที่ความต้องการในการติดตั้ง IPS จะพิจารณาการใช้งานใน Network level เพื่อตรวจสอบทุกแพ็กเกตที่ผ่านในเครือข่าย

3 เหตุผลว่าทำไม IPS and WAF นั้น จะไม่มีทางที่เหมือนกันได้เลย

บางคนอาจมองว่า IPS และ WAF นั้นเหมือนกัน ผมต้องการจะบอกว่ามีจุดไหนบ้างที่ IPS และ WAF จะไม่มีทางที่จะเหมือนกันเลย

1) ขอบเขตการใช้งาน

ในการใช้งานจริงของ IPS อาจมีการลดลงของประสิทธิภาพซึ่งจะทำให้ความสามารถในการป้องกันของ IPS นั้นลดลงตามไปด้วย เช่น การติดตั้ง IPS แบบวางขวางระหว่างเครือข่ายภายในและอินเตอร์เน็ต ดังนั้น IPS จึงต้องมีประสิทธิภาพสูงเพื่อที่จะไม่ให้เกิดความล่าช้าของการใช้งานบนเครือ ข่าย IPS จึงได้มีการนำเอา ASIC ชิพมาใช้สำหรับการตรวจสอบแพ็กเกตในระดับ Content หรือเรียกกระบวนการนี้ว่า “Deep Packet Inspection” ทำให้สามารถตรวจสอบในสายสัญญาณที่มีการส่งข้อมูลด้วยความเร็วสูงได้และใน หลาย Interface พร้อมกันด้วย สำหรับ IPS นั้น การกรองและตรวจสอบแพ็กเกตเกิดขึ้นใน memory โดยแยกแพ็กเกตและทำการวิเคราะห์แพ็กเกตซึ่งผ่านเข้ามา แต่ละแพ็กเกตซึ่งเป็นส่วนหนึ่งของ stream จะมี tag กำกับไว้เพื่อจะสามารถประกอบกลับเป็นข้อมูลที่สมบูรณ์ได้ที่เครื่องปลายทาง โดยตัว IPS จะเปรียบเทียบ stream เหล่านี้กับ signatures บนตัวอุปกรณ์ว่ามีข้อมูลไหนตรงกับ pattern ที่เป็นการโจมตีหรือไม่นั่นเอง ซึ่งเป็นหน้าที่การทำงานหลักของอุปกรณ์ชนิดนี้ IPS จะทำการตรวจสอบทุก TCP, UDP packet และบาง stream อาจถูกวิเคราะห์และ drop ทันทีไม่ให้ผ่านเครือข่ายไปได้ IPS ส่วนใหญ่จะได้ทำงานโดยการแยกและการตรวจสอบข้อมูลไปพร้อมกันในหลายๆแพ็กเก ตหรือหลายๆ stream

สำหรับการทำงานของ IPS เมื่อเทียบกับ WAF, ในตอนนี้ถ้าจะให้ IPS ทำงานกับ web-base stream ได้จะต้องมี feature พิเศษเพิ่มขึ้นมาถึงจะทำการวิเคราะห์ stream นี้ได้ เช่น ถอดรหัส SSL, Normalize ส่วนของ HTTP และค้นหา web threat ในแต่ละ packet ด้วย กระบวนการนี้จะต้องถูกทำให้เสร็จสำหรับข้อมูลที่จะถูกส่งไปยัง Web Server และ IPS จะต้องหาวิธีมาเรียนรู้ web traffic ของการใช้งานที่เกิดขึ้นแล้วควรสามารถใช้อ้างอิงกับการใช้งานในอนาคตด้วย ทุกๆลำดับการทำงานเหล่านี้ต้องเกิดขึ้นกับทุก web application traffic พร้อมๆกันด้วย โดยไม่ส่งผลกระทบกับการป้องกันทุกชนิดที่ IPS มีอยู่

2) การตลาด

ไม่มีการทำการตลาด เนื่องจากไม่มีการร้องขอข้อมูลการเปรียบเทียบผลิตภัณฑ์ WAF กับ IPS จากลูกค้าและไม่มีเกณฑ์การประเมินให้คะแนนอีกด้วย ส่วนเกณฑ์การทดสอบในห้องวิจัยที่ใช้วัดผลได้เป็นอย่างดี คือ

a) ลูกค้าจะได้อะไรบ้างในเทคโนโลยีนี้

b) ในการเลือกผลิตภัณฑ์นั้นควรใช้ดัชนีของบอร์ดใดเป็นตัวช่วยเลือก เช่น Gartner

c) เทคโนโลยีในแต่ละผลิตภัณฑ์มีการทำงานอย่างไร

ความสนใจเหล่านี้เป็นเกณฑ์เดียวกันที่ใช้ใน NSS Labs และ ICSA Labs ซึ่งยังไม่รวมเรื่องการความต้องการของการถอดรหัส SSL หรือเกณฑ์การประเมินในส่วนอื่นๆ โดย Gartner หน่วยงานที่ทำการประเมินวิเคราะห์และเปรียบเทียบผลิตภัณฑ์ต่างๆระดับโลก ไม่หวังว่าจะจัด IPS ซึ่งทำงานอย่าง WAF ได้ให้อยู่ใน IPS Magic Quadrant เพราะเรื่องการถอดรหัส SSL นั้นมีเพียง WAF ที่ทำได้และเกณฑ์การประเมินยังรวมเรื่องการวิเคราะห์แอพพลิเคชันด้วย ถ้าเกณฑ์การประเมินผลิตภัณฑ์และการตลาดไม่มุ่งเน้นไปทางเดียวกันเพื่อผลัก ดันเรื่อง IPS แล้วไม่มีทางเลยที่ vendor จะพัฒนาให้ผลิตภัณฑ์เข้าใกล้เกณฑ์การพิจารณาของ WAF เพราะคงไม่มี Vendor เจ้าไหนต้องการให้ IPS ของตัวเองได้คะแนนเพียง 17% ในการทดสอบโดยห้องวิจัยอย่างแน่นอน ถ้าคุณใช้ เกณฑ์การประเมิน WAF ของห้องวิจัย ICS กับ IPS ใดๆก็ตามเพื่อให้การตลาดที่ดีขึ้น ผมสามารถพนันได้เลยว่าไม่มีทางผ่านได้แน่นอน

3) การตรวจจับ,การแจ้งเตือน และการเก็บเหตุการณ์

WAF สามารถตรวจพบเหตุการณ์หรือสิ่งผิดปกติได้ในปริมาณและรายละเอียดที่มากกว่า IPS แต่ IPS จะพยายามชี้ว่า WAF ไม่อาจจัดการเรื่องการรายงานเหตุการณ์ที่พบซึ่งเหมือนๆกันได้ โดย IPS พยายามจะนำเสนอว่ามันสามารถตรวจพบทุกเหตุการณ์หรือทุกสิ่งที่ผิดปกติได้แม้ จะมีปริมาณมากหรือเหมือนกันแค่ไหนก็ตาม เพราะว่า vendor จะทำให้แน่ใจว่าผลิตภัณฑ์ของตนสามารถระบุภัยคุกคามมากที่สุดเท่าที่เป็นไป ได้ แต่ละเหตุการณ์ที่เกิดขึ้นต้องถูกเก็บไว้และสามารถแจ้งเตือนไปยังระบบอื่น ได้ด้วย การแจ้งเตือนก็เป็นรื่องสำคัญนักรวมทั้งข้อมูลเหตุการณ์การใช้งานเว็บก็เป็น ข้อมูลที่มีรายละเอียดมากควรถูกบันทึกและส่งไปเก็บไว้มากกว่าเหตุการณ์บน เครือข่ายที่ IPS ตรวจจับได้

สำหรับใครก็ตามที่ไม่เคยจัดการหรือเผ้าดูการทำงานของ WAF ในสภาพที่มีการใช้งานเว็บเป็นปริมาณมากหรือการใช้งานกับแอพพลิเคชันที่ถูก เขียนขึ้นมาใช้เองขององค์กรต่างๆ คุณจะรู้ว่า WAF นั้นเป็นรูปแบบการสร้างความปลอดภัยที่ดีเลยทีเดียวต่อองค์กรของคุณ เพราะข้อมูลล็อกและการแจ้งเตือนของ WAF นั้นจะแสดงแต่ละองค์ประกอบของข้อมูล HTTP ที่เชื่อมโยงกับเหตุการณ์หรือสิ่งที่ตรวจจับได้ อย่างเช่น HTML form, HTTP method, URL, Response Code และอื่นๆ อย่างไรก็ตามเหมือนกับ IPS คือ WAF จะสามารถบล็อกอะไรก็ตามที่มันวิเคราะห์แล้วว่าเป็นอันตรายและแจ้งเตือน ทุกอย่างแม้ว่าจะไม่แม่นยำ 100% เท่ากับการวิเคราะห์ของมนุษย์ก็ตาม

บทสรุป

1. ถ้า IPS มีการเพิ่มฟังก์ชันการวิเคราะห์ web traffic ขึ้นมาจะทำให้ศักยภาพในการทำงานหลักหรือระบบป้องกันผู้บุกรุกจะมี ประสิทธิภาพลดลง และ ทำให้การทำงานของเครือข่ายช้าไปด้วย

2. เมื่อพิจารณาจากเกณฑ์การประเมินผลิตภัณฑ์ของห้องวิจัยต่างๆแล้ว มันเป็นเรื่องยากที่จะพัฒนา IPS ให้ผ่านเกณฑ์หรือข้อกำหนดของ WAF จึงไม่มี vendor เจ้าใดจะกล้าลงทุนและทำการตลาดในเรื่องนี้

3. WAF นั้นมีการเก็บข้อมูลหรือเหตุการณ์ต่างๆของการใช้งาน web application ที่มีความละเอียดมากกว่าไม่ใช่รู้เพียง IP Address อะไร หรือ port อะไรเท่านั้น ยังสามารถเห็นถึง method ที่ใช้ในการรับส่งข้อมูล หรือพารามิเตอร์ที่ใช้ว่าเป็นค่าอะไรเลยทีเดียว

1 Comment
  1. Imperva is very interest and good feature with IT security in 2012. M.Tech is Distributor to Imperva product ka..thank you for your kind explain in Thai language is clear in solution between IPS and WAF na ka..

Leave a Reply

Address

BizTown LatPhrao
2521/7 LatPhrao Road, Wangthonglang, Bangkok 10310 Thailand
Phone: 0-2530-2062-4
Fax: 0-2530-2177
Website: http://www.mindterra.com
Email: info@mindterra.com

Login