IDS para o Windows Server 2008?

Question

IDS para o Windows Server 2008?

#1 resposta do (5 votos)
#2 resposta do (3 votos)
#3 resposta do (1 votos)

4

Tenho certeza de que minha caixa do Windows Server 2008 está constantemente sob ataque, tanto no nível da rede quanto no nível do aplicativo da web.

A questão é como eu detecto esses ataques? Existe algum software leve disponível que possa monitorar o servidor?

Nota: Estou executando isso em um VPS para que o programa monitor tenha que ser executado no mesmo servidor.

windows windows-server-2008 ids

por HopelessN00b 20.04.2010 / 05:34

3 respostas

Tags windows windows-server-2008 ids

Capistrano ou Puppet são capazes disso? Como impedir a cópia de máquinas virtuais

score 5 · Answer 1

IMO, você nunca pode confiar totalmente em software no servidor que está sendo monitorado para esse tipo de informação. Você precisa de uma camada transparente entre todo o tráfego e seu servidor. Você também pode fazer o monitoramento de "banda lateral" espelhando todo o tráfego que atinge seu servidor e analisando isso. Isso realmente não oferece muito potencial para proteção.

Suponho que você possa procurar instalar o Microsoft IAG ou TMG no servidor, mas isso é um pouco pesado. O TMG resolveria os ataques em nível de rede e o IAG abordaria especificamente a camada de aplicativos da Web.

score 3 · Answer 2

Eu sugeriria uma abordagem multifacetada, utilizando o Snort como um NIDS (sistema de detecção de intrusões de rede e algo mais como um sistema de detecção de intrusão do host HIDS).

No lado do HIDS, o Pixelicious já mencionou o Tripwire, mas, como aludido, é uma solução muito cara.

OSSEC é um poderoso Open Source HIDS que pode atender às suas necessidades, e suporte comercial está disponível, se necessário (através da Trend Micro).

Ionx Verisys é uma alternativa comercial, mas mais leve e menos dispendiosa à Tripwire.

score 1 · Answer 3

Suponho que você não terá que usar recursos para usar qualquer IDS de nível empresarial como o tripwire? o que definitivamente seria eficaz. O que posso sugerir é que você registre todas as solicitações recebidas, portanto, no IIS, certifique-se de registrar e revisar suas solicitações de http. Você pode limitar os intervalos de IP que você está esperando conexões?

Você pode autenticar seu aplicativo da web? Se você desativar o acesso anônimo, poderá reduzir muito os ataques ao seu aplicativo. Caso contrário, procure reduzir os privilégios do seu serviço IIS e os pools de aplicativos.

Se você estiver vendo investigações em sua rede, identifique os serviços de rede (netstat -an ajudará) e mude tudo o que puder. Ligue o firewall do seu Windows; olhar sobre as regras, limitá-lo ao mínimo.

Não há nenhum aplicativo que você possa instalar ou um dispositivo que você possa comprar, que apenas será ativado e deixará tudo ok. Sua melhor defesa é revisar ativamente seu sistema.