¿Cómo hacer que Snort no registre datos confidenciales del tráfico rastreado?

Question

¿Cómo hacer que Snort no registre datos confidenciales del tráfico rastreado?

#1 de Steffen Ullrich (2 votos)

3

Tengo Snort en mi red que uso para IDS y reside en una máquina virtual que recibe todo el tráfico reflejado del conmutador. Tengo una aplicación web que los usuarios usan e inician sesión, operan en sus cuentas y hacen muchas cosas allí. El problema es que tengo duplicación de puertos que envía todo el tráfico regular a mi Snort VM, también está interceptando las contraseñas de los usuarios y todos los demás datos.

La pregunta que tengo es: ¿cómo puedo evitar que el snort tenga acceso a datos confidenciales del tráfico? ¿Es esto posible de todos modos? ¿Cómo lo hacen otras empresas? El problema que tengo es que si alguien compromete a Snort VM de alguna manera, o incluso a un empleado responsable de monitorear esa VM, entonces podrá acceder a todos los datos confidenciales, contraseñas de clientes, etc.

editar: Actualmente el usuario realiza una solicitud SSL (aplicación web normal), mi loadbalancer realiza el descifrado ssl y enruta el tráfico al servidor de aplicaciones. Todo, desde loadbalancer hasta el servidor de aplicaciones, no está encriptado.

network ids snort

pregunta Fransious 04.12.2015 - 12:36

fuente

1 respuesta

Lea otras preguntas en las etiquetas network ids snort

Chrome mostrando una advertencia de SSL sobre SHA-1 cuando los sitios no usan SHA-1 donde se almacena la sal para "crypto_pwhash" en una aplicación web sin almacenamiento local

score 2 · Answer 1

Si puede definir cómo se ven los datos confidenciales en la capa de red, puede hacerlo. Pero no hay un indicador de "datos confidenciales" o similar adjunto a los paquetes, por lo que generalmente no se puede detectar en la capa de red lo que es sensible o no.

El problema que tengo es que si alguien compromete a Snort VM de alguna manera, o incluso a un empleado responsable de monitorear esa VM, entonces podrá acceder a todos los datos confidenciales, las contraseñas de los clientes, etc.

Incluso si no registra los datos de Snort, el escenario de ataque sigue ahí porque se puede acceder a todo este tráfico sensible para cualquier persona que tenga acceso a la VM, incluso si Snort no se está ejecutando. Si este tráfico no llegara al sistema, Snort no podría analizarlo. Si llega al sistema, otros pueden acceder a él.

Por lo tanto, si teme que Snort VM se vea comprometida de alguna manera, no le envíe ningún dato sensible. Por supuesto, esto significa que primero debe saber qué es sensible y luego que acepta que Snort no podrá analizar este tráfico en ese momento.