1 votes

uloBasEI avatar

Comment puis-je mettre snort devant le serveur nginx

Demandé el 2 de Juillet, 2015
Quand la question a-t-elle été
2307 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux empêcher les attaques sur mon serveur nginx. Comment puis-je faire passer les requêtes à travers snort vers le serveur nginx?

Les NFQueue sont une solution. Je peux passer des paquets à snort en utilisant les règles suivantes

sudo snort -Q --daq nfq --daq-var --daq-var queue=1 -c /etc/snort/snort.conf

Maintenant j'ai créé la file d'attente

sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1
sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE --queue-num 1

Est-ce suffisant ou devons-nous faire autre chose en plus de cela?

Nginx tourne dans le même système que snort.

Demandé el 2 de Juillet, 2015 par uloBasEI

Réponses

Trop de publicités?

1voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Si votre question concerne la configuration de Snort en tant que IPS pour protéger votre serveur, je crois que vous avez suivi les bonnes instructions pour le configurer. Les règles que vous avez créées semblent légitimes; vous devrez télécharger et maintenir les règles à jour (je pense que PulledPork ou Oinkcodes peuvent aider) si vous ne l'avez pas encore fait, et les tester. Il peut également être pratique de créer un service pour démarrer / redémarrer / arrêter Snort.

Si vous voulez savoir si l'utilisation de Snort est suffisante pour sécuriser votre serveur web, malheureusement la réponse est non...

Répondu el 2 de Juillet, 2015 par Utilisateur non enregistré (0 Points )

1voto

that guy from over there avatar
that guy from over there Points 1345

Un peu hors sujet : basé sur votre scénario, exécuter snort pour protéger nginx / les demandes web pourrait être un peu surdimensionné. De plus, snort sera inutile une fois que vous utilisez https dans votre nginx.

si votre cible principale est de vous protéger contre les attaques basées sur le web, vous voudrez peut-être envisager de consulter naxsi, une solution de waf très agréable et rapide pour nginx et bien supérieure à mod_security, sauf dans certains cas spéciaux. Il existe également un ensemble de règles étendues pour naxsi, doxi-rules, qui dérive des règles de snort de menaces émergentes.

Répondu el 4 de Juillet, 2015 par that guy from over there (1345 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X