Ho Snort nella mia rete che utilizzo per IDS e risiede su una VM che riceve tutto il traffico speculare dallo switch. Sto avendo una web application che gli utenti usano e fanno login, operano sui loro account e fanno un sacco di roba lì. Il problema perché ho il port mirroring che invia tutto il traffico regolare al mio Snort VM, sta anche intercettando le password degli utenti e tutti gli altri dati.
La domanda che ho è come posso smettere in qualche modo di accedere ai dati sensibili dal traffico? È comunque possibile? Come fanno le altre aziende? Il problema che ho è se qualcuno compromette in qualche modo Snort VM, o anche il dipendente che è responsabile del monitoraggio di quella VM, quindi possono accedere a tutti i dati sensibili, le password dei clienti ecc.
modifica: Attualmente l'utente effettua una richiesta SSL (applicazione web regolare), il mio loadbalancer esegue la decrittazione ssl e indirizza il traffico al server delle applicazioni. Tutto, dal loadbalancer al server delle applicazioni, non è crittografato.