Комментарии 12
Интересная статья.
1) IPS не крутова-та ли для защиты веб сервера?
2) Можно добавить раздел, посвященный запуску Suricata и/или Snort на одном сервере в Docker, одновременно с сайтом?
На веб сервере можно выстроить защиту от sql инъекций и прочего
1) Как дополнение к FW система IDPS может быть очень полезна даже для веб-сервера, т.к. позволит выявлять скан, брутфорс и, например, применение эксплойтов на границе и отбрасывать нежелательные пакеты.
2) Спасибо за идею темы для статьи. Возможно, в скором времени появится :)
Сурикату удобнее подключать через NFQUEUE в iptables, чтобы не морочиться с именем интерфейса. Плюс тогда там же можно настроить игнорирование трафика, который анализировать не нужно.
Все же ids с прицелом на ips и другие функции поиска аномалий в сети лучше изучать с использованием классного комбайна, тоже free, - security onion.
Извините, а где здесь грамотная настройка? Вы либо не работали на боевых серверах с этими системами, либо не понимаете, что такое "грамотная настройка". Включить всё по дефолту и начать "блокировать IP-адрес источника атаки" = огрести проблем.
да тут в принципе ничего нет, а где описание различий двух систем, сравнение их плюсов и минусов. пока это просто - смотрите - у нас тут две вот таких хреновины есть, вот так их запустить, а дальше сами разберетесь.
Смысл статьи скорее в первоначальной подготовке к использованию. Тонкая настройка и оптимизация безусловно понадобятся в реальном кейсе.
Спасибо.
P.s. При открытие 80\TCP вовне на пфсенсе не забыть веб-админку на др порт перевесить и галку в настройках снять, чтобы 80\TCP веб-админка не слушала )
Замечу, что Suricata также доступна как пакет pfSense.
Snort и Suricata — простой путь к использованию IDPS: от установки на сервер до грамотной настройки