Come rendere Snort non registra i dati sensibili dal traffico sniffato?

3

Ho Snort nella mia rete che utilizzo per IDS e risiede su una VM che riceve tutto il traffico speculare dallo switch. Sto avendo una web application che gli utenti usano e fanno login, operano sui loro account e fanno un sacco di roba lì. Il problema perché ho il port mirroring che invia tutto il traffico regolare al mio Snort VM, sta anche intercettando le password degli utenti e tutti gli altri dati.

La domanda che ho è come posso smettere in qualche modo di accedere ai dati sensibili dal traffico? È comunque possibile? Come fanno le altre aziende? Il problema che ho è se qualcuno compromette in qualche modo Snort VM, o anche il dipendente che è responsabile del monitoraggio di quella VM, quindi possono accedere a tutti i dati sensibili, le password dei clienti ecc.

modifica: Attualmente l'utente effettua una richiesta SSL (applicazione web regolare), il mio loadbalancer esegue la decrittazione ssl e indirizza il traffico al server delle applicazioni. Tutto, dal loadbalancer al server delle applicazioni, non è crittografato.

    
posta Fransious 04.12.2015 - 12:36
fonte

1 risposta

2

Se sei in grado di definire in che modo i dati sensibili guardano al livello di rete, puoi farlo. Ma non esiste alcun flag "dati sensibili" o simile allegato ai pacchetti, quindi di solito non è possibile rilevare a livello di rete ciò che è sensibile o meno.

The problem I have is if someone compromises that Snort VM somehow, or even employee who is responsible for monitoring that VM, then they can access all sensitive data, customers passwords etc.

Anche se non si registrano i dati da Snort, lo scenario di attacco è ancora lì perché è possibile accedere a tutti questi tipi di traffico sensibile per chiunque abbia accesso alla VM, anche se Snort non è in esecuzione. Se questo traffico non raggiungesse il sistema, Snort non sarebbe in grado di analizzarlo. Se raggiunge il sistema, gli altri possono accedervi.

Quindi, se temi che lo Snort VM venga compromesso in qualche modo, non inoltrare alcun dato sensibile ad esso. Questo ovviamente significa che devi prima sapere cosa è sensibile e in secondo luogo che accetti che Snort non sarà in grado di analizzare questo traffico allora.

    
risposta data 04.12.2015 - 12:43
fonte

Leggi altre domande sui tag