¿Cómo hacer que Snort no registre datos confidenciales del tráfico rastreado?

3

Tengo Snort en mi red que uso para IDS y reside en una máquina virtual que recibe todo el tráfico reflejado del conmutador. Tengo una aplicación web que los usuarios usan e inician sesión, operan en sus cuentas y hacen muchas cosas allí. El problema es que tengo duplicación de puertos que envía todo el tráfico regular a mi Snort VM, también está interceptando las contraseñas de los usuarios y todos los demás datos.

La pregunta que tengo es: ¿cómo puedo evitar que el snort tenga acceso a datos confidenciales del tráfico? ¿Es esto posible de todos modos? ¿Cómo lo hacen otras empresas? El problema que tengo es que si alguien compromete a Snort VM de alguna manera, o incluso a un empleado responsable de monitorear esa VM, entonces podrá acceder a todos los datos confidenciales, contraseñas de clientes, etc.

editar: Actualmente el usuario realiza una solicitud SSL (aplicación web normal), mi loadbalancer realiza el descifrado ssl y enruta el tráfico al servidor de aplicaciones. Todo, desde loadbalancer hasta el servidor de aplicaciones, no está encriptado.

    
pregunta Fransious 04.12.2015 - 12:36
fuente

1 respuesta

2

Si puede definir cómo se ven los datos confidenciales en la capa de red, puede hacerlo. Pero no hay un indicador de "datos confidenciales" o similar adjunto a los paquetes, por lo que generalmente no se puede detectar en la capa de red lo que es sensible o no.

  

El problema que tengo es que si alguien compromete a Snort VM de alguna manera, o incluso a un empleado responsable de monitorear esa VM, entonces podrá acceder a todos los datos confidenciales, las contraseñas de los clientes, etc.

Incluso si no registra los datos de Snort, el escenario de ataque sigue ahí porque se puede acceder a todo este tráfico sensible para cualquier persona que tenga acceso a la VM, incluso si Snort no se está ejecutando. Si este tráfico no llegara al sistema, Snort no podría analizarlo. Si llega al sistema, otros pueden acceder a él.

Por lo tanto, si teme que Snort VM se vea comprometida de alguna manera, no le envíe ningún dato sensible. Por supuesto, esto significa que primero debe saber qué es sensible y luego que acepta que Snort no podrá analizar este tráfico en ese momento.

    
respondido por el Steffen Ullrich 04.12.2015 - 12:43
fuente

Lea otras preguntas en las etiquetas