Tengo Snort en mi red que uso para IDS y reside en una máquina virtual que recibe todo el tráfico reflejado del conmutador. Tengo una aplicación web que los usuarios usan e inician sesión, operan en sus cuentas y hacen muchas cosas allí. El problema es que tengo duplicación de puertos que envía todo el tráfico regular a mi Snort VM, también está interceptando las contraseñas de los usuarios y todos los demás datos.
La pregunta que tengo es: ¿cómo puedo evitar que el snort tenga acceso a datos confidenciales del tráfico? ¿Es esto posible de todos modos? ¿Cómo lo hacen otras empresas? El problema que tengo es que si alguien compromete a Snort VM de alguna manera, o incluso a un empleado responsable de monitorear esa VM, entonces podrá acceder a todos los datos confidenciales, contraseñas de clientes, etc.
editar: Actualmente el usuario realiza una solicitud SSL (aplicación web normal), mi loadbalancer realiza el descifrado ssl y enruta el tráfico al servidor de aplicaciones. Todo, desde loadbalancer hasta el servidor de aplicaciones, no está encriptado.