Snort ID per la distribuzione di Amazon

2

Snort è una buona scelta per monitorare il traffico di applicazioni Web e di rete su Amazon EC2? In caso negativo, perché e che IDS suggeriresti? Snort è una buona scelta per monitorare XSS, Sql Injection, tentare di forzare gli account di forza e enumerare gli utenti e rilevare DDoS contro l'app Web?

Snort può essere installato sui loadbalancer basati su Linux (haProxy); ma non sono sicuro di dove gli strumenti commerciali come Alert Logic dovrebbero sedersi che non creano un collo di bottiglia delle prestazioni e un singolo punto di errore.

    
posta Goli E 31.12.2014 - 01:07
fonte

1 risposta

2

Non ho molta esperienza con AWS, ma se il tuo obiettivo principale è quello di proteggere da exploit legati al Web come XSS, SQL injection, ecc., un firewall per applicazioni web potrebbe essere più efficace. Snort ha certamente delle regole disponibili per queste cose, ma nella mia esperienza un firewall per applicazioni web farà un lavoro migliore. Questo thread ha una buona spiegazione sul perché questo è spesso il caso: Uso di un IPS come alternativa a mod_security

Se utilizzi apache mod_security è il WAF più popolare. Per DDoS e protezione brute force, controlla mod_evasive .

Ovviamente Snort fa anche un buon lavoro e protegge da cose che i WAF non lo fanno, quindi se l'uso extra delle risorse non ti riguarda, allora non penso che ci sia alcun danno nell'eseguire anche Snort come strato aggiuntivo di protezione.

In definitiva, tuttavia, il modo migliore per proteggere un'applicazione Web è controllare il codice sorgente del sito Web per assicurarsi che queste vulnerabilità non esistano in primo luogo. I firewall IDS e web application sono fantastici, ma se il tuo sito ha una vulnerabilità, un determinato utente malintenzionato troverà un modo per sfruttarlo.

    
risposta data 31.12.2014 - 02:35
fonte

Leggi altre domande sui tag