Snort IDS para la implementación de Amazon

2

¿Snort es una buena opción para monitorear el tráfico de aplicaciones web y de red en Amazon EC2? Si no, ¿por qué y qué IDS sugerirías? ¿Snort es una buena opción para monitorear XSS, Sql Injection, intentar atacar a las cuentas de fuerza bruta y enumerar usuarios, y detectar DDoS contra la aplicación web?

Snort se puede instalar en los equilibradores de carga basados en Linux (haProxy); pero no estoy seguro de dónde deben ubicarse las herramientas comerciales como Alert Logic que no cree un cuello de botella en el rendimiento y un único punto de falla.

    
pregunta Goli E 31.12.2014 - 01:07
fuente

1 respuesta

2

No tengo mucha experiencia con AWS, pero si su objetivo principal es protegerse contra las vulnerabilidades relacionadas con la web como XSS, inyección de SQL, etc., entonces un firewall de aplicaciones web puede ser más efectivo. Snort ciertamente tiene reglas disponibles para estas cosas, pero en mi experiencia, un firewall de aplicaciones web hará un mejor trabajo. Este hilo tiene una buena explicación de por qué a menudo es así: Usar un IPS como alternativa a mod_security

Si está utilizando apache mod_security es el WAF más popular. Para obtener información sobre la protección contra la fuerza bruta y DDoS, consulte mod_evasive .

Por supuesto, Snort también hace un buen trabajo y protege contra las cosas que no hacen los WAF, por lo que si el uso de recursos adicionales no le preocupa, entonces no creo que exista ningún daño al ejecutar Snort como una capa adicional. de protección.

En última instancia, sin embargo, la mejor manera de proteger una aplicación web es auditar el código fuente del sitio web para asegurarse de que estas vulnerabilidades no existan en primer lugar. Los cortafuegos de IDS y aplicaciones web son excelentes, pero si su sitio tiene una vulnerabilidad, un atacante determinado encontrará una forma de explotarlo.

    
respondido por el tlng05 31.12.2014 - 02:35
fuente

Lea otras preguntas en las etiquetas