WAF vs IPS: ¿Cuál es la diferencia?

Whats the difference between WAF vs IPS

Uno de los activos más valiosos (si no el más importante) de una empresa es su información y también sus sistemas. Las personas que se dedican a ser «ladrones de ordenadores» también lo saben, por lo que intentan diferentes métodos para atacar las redes de nuestra empresa y acceder a nuestra valiosa información. Los tipos de «armas» para llevar a cabo ciberataques se han diversificado tanto que ya no basta con poner un Firewall o cualquier NGFW en la entrada de nuestra red y un antivirus en los ordenadores de los usuarios. Un administrador de red sabe que esto sería como cerrar la puerta principal de nuestra casa pero dejando todas las ventanas y la puerta trasera abiertas. Ahora que los ataques se producen en diferentes «capas» de los protocolos de red, para lo que necesitamos diferentes sistemas de defensa para cada tipo de tráfico. El hecho de que cada vez más empresas tengan su negocio permanente en aplicaciones web puede hacerlas aún más vulnerables.
Top 5 web application attacks rates

En un mundo ideal el código de nuestras aplicaciones web no debería tener ningún «gap» de seguridad que pueda poner en riesgo nuestros datos pero, en realidad, esto es poco probable por lo que es necesario tener aplicaciones externas. Definitivamente, mientras más barreras de seguridad existan, más tranquilidad sentirán los propietarios de negocios y los propietarios de sitios web. ¿Qué opciones existen hoy en día para proteger los servidores (e incluso los centros de datos) de nuestras empresas de la gran cantidad de amenazas a nuestros datos? Hablemos de dos opciones: Web Application Firewall (WAF) y, por otro lado, el sistema de prevención de intrusiones. ¿Cuáles son las características de cada uno? ¿Qué tienen en común y qué los diferencia? ¿Cuál de los dos da más seguridad a la red?

Firewall de Aplicación Web (WAF)

Firewall de Aplicación Web (WAF) es una solución (hardware y software) que actúa como intermediario entre los usuarios externos y las aplicaciones web. Esto significa que todas las comunicaciones HTTP (solicitud-respuesta) son analizadas por el WAF antes de llegar a las aplicaciones web o a los usuarios.
Para realizar el monitoreo y análisis del tráfico HTTP, el WAF aplica un conjunto de reglas previamente definidas que hacen posible la detección de peticiones HTTP maliciosas tales como el Cross-Site Scripting (XSS), SQL Injection, ataques Dos o DDos, manipulación de cookies y muchos otros. Una vez que el WAF detecta un hilo o ataque, bloquea el tráfico para rechazar la solicitud maliciosa o una respuesta con datos sensibles. Si no hay hilos o ataques, todo su tráfico debe fluir normalmente, de forma que toda la inspección y protección sea transparente para los usuarios y no afecte a las operaciones diarias de las aplicaciones web de su empresa.

Sistema de Prevención de Intrusiones (IPS)

En el caso del Sistema de Prevención de Intrusiones (IPS) es un dispositivo de protección más general. Proporciona protección sobre el tráfico de una amplia variedad de tipos de protocolos, tales como DNS, SMTP, TELNET, RDP, SSH, FTP, entre otros. IPS detecta el tráfico malicioso utilizando diferentes métodos, por ejemplo:

Detección Basada en Firmas:

Detección basada en firmas como lo hace un antivirus. Una empresa puede reconocer una amenaza y enviar una alerta al administrador. Para que este método funcione correctamente, todas las firmas deben estar con la última actualización.

Detección basada en políticas:

IPS requiere que las políticas de seguridad sean declaradas muy específicamente. El IPS reconoce el tráfico que está fuera de estas políticas y lo descarta automáticamente.

Detección basada en anomalías:

De acuerdo con el patrón de comportamiento normal del tráfico. Este método se puede utilizar de dos maneras, automática o manual. Por un lado, el IPS realiza automáticamente un análisis estadístico y establece un estándar de comparación. Cuando el tráfico se aleja demasiado de esta norma, envía una alerta. La otra forma es por defecto configurar manualmente el comportamiento normal del tráfico para que las alertas se envíen cuando el tráfico, de nuevo, se aleje de esta regla. La desventaja de la forma manual es que al ser menos flexible y dinámica puede enviar falsas alertas.

Detección Olla de Miel:

Funciona utilizando un ordenador configurado para llamar la atención de los hackers sin comprometer la seguridad de los sistemas reales. Utilizando este cebo, los ataques pueden ser monitoreados y analizados para que, una vez identificados, puedan ser utilizados para establecer nuevas políticas.
WAF vs IPS protection comparison

¿Cuál es mi mejor opción?

Después de nuestra comparación, es obvio que, aunque ambas soluciones son una capa de seguridad adicional para nuestra red, funcionan en diferentes tipos de tráfico. Así que, en lugar de competir entre sí, se complementan entre sí. A pesar de que IPS parece proteger un tipo de tráfico más amplio, hay uno muy específico con el que sólo un WAF puede trabajar. Por lo tanto, es muy recomendable tener ambas soluciones, especialmente si sus sistemas de entorno trabajan en estrecha colaboración con la web.

Afortunadamente, hoy en día existen soluciones completas que le ofrecen lo mejor de ambos mundos.

El reto es seleccionar el sistema de hardware WAF adecuado para ejecutar mecanismos de seguridad basados en software de forma eficaz. En otras palabras, la forma más práctica de proteger el centro de datos empresarial es implementar una solución híbrida de software y hardware para proteger las redes de los ciberdelincuentes.

Hay varios requisitos en la fabricación de Firewall de Aplicación Web:

Aceleración de SSL:

SSL es crítico para WAF como un método de descarga de CPU para el cifrado de clave pública de servicio pesado. Para un rendimiento óptimo, se recomienda disponer de un acelerador de hardware.

DPI:

Dado que el WAF se despliega entre el servidor de la empresa y los usuarios, una de las principales misiones del WAF es monitorear el tráfico y bloquear los intentos maliciosos. Esto requiere un DPI (Deep Packet Inspection) eficiente respaldado por un hardware potente.

High-performance o high-throughput:

Dado que tanto DPI como SSL son intensivos en CPU, la arquitectura de hardware requerida para las implementaciones WAF debe ofrecer capacidad de procesamiento dedicada para ejecutar valores de software.

Alta disponibilidad:

WAF funciona las 24 horas del día, los 7 días de la semana y, por lo tanto, la alta disponibilidad de la fuente de alimentación es fundamental para la optimización de WAF.

Escalabilidad:

Dado que los servicios de aplicaciones web pueden expandirse a medida que crece la base de clientes, los WAF empresariales deben ampliarse por medios de hardware para aumentar el rendimiento y acelerar las aplicaciones críticas de la forma más sencilla.

Por ejemplo, el FW-8759 de Lanner es un sistema de seguridad de red de 1U para montar en rack que utiliza las capacidades más avanzadas de la plataforma Intel Denlow (basado en la CPU Intel Haswell y C226 PCH). Con 8 puertos LAN Intel GbE integrados y 1 ranura para módulos NIC, este dispositivo puede soportar una densidad máxima de puertos de hasta 16 GbE, lo que lo hace perfecto para aplicaciones de seguridad cibernética como UTM, Firewall, VPN, IPS y optimización de WAN. Es, de hecho, lo suficientemente poderoso como para ser el escudo de seguridad de su empresa a todos los niveles.

1U rackmount network security

En conclusión, a pesar de todos los hilos de rosca hacia fuera allí, elegir la mejor protección acodada debe darle más seguridad y (porqué no) la paz de la mente.

Actualización (11/06/2019): Hay una versión actualizada de este artículo en https://www.lanner-america.com/es/blog-es/waf-vs-ips-cual-es-la-diferencia/

WAF vs IPS: ¿Cuál es la diferencia? was last modified: marzo 5th, 2020 by Lanner Blog