Como posso colocar snort na frente do servidor nginx

1

Eu quero evitar ataques ao meu servidor nginx. Como posso proxy as solicitações através do snort para o servidor nginx.

NFQueue é uma solução.Eu sou capaz de passar pacotes para snort usando as seguintes regras

sudo snort -Q --daq nfq --daq-var --daq-var queue=1 -c /etc/snort/snort.conf

Agora criei a fila

sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE --queue-num 1
sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE --queue-num 1

Isso é suficiente ou precisamos fazer algo diferente disso?

O Nginx está sendo executado no mesmo sistema que o snort.

    
por manu_dilip_shah 02.07.2015 / 14:19

2 respostas

1

Se a sua questão for configurar o Snort como um IPS para proteger seu servidor, acredito que você tenha seguido as instruções corretas para configurá-lo. As regras que você criou parecem legítimas; você terá que baixar e manter as regras atualizadas (acho que o PulledPork ou o Oinkcodes podem ajudar) se você ainda não o fez e testá-lo. Também pode ser conveniente criar um serviço para iniciar / reiniciar / parar o Snort.

Se você quiser saber se usar o Snort é o suficiente para proteger o seu servidor web, infelizmente a resposta é não…

    
por 02.07.2015 / 23:28
0

um pouco fora do tópico: com base no seu cenário, a execução de snort of nginx / web-request pode ser um pouco grande demais. Além disso, o snort será inútil quando você usar https no seu nginx.

Se o seu alvo principal é proteger contra ataques baseados na web, então você pode querer dar uma olhada no naxsi , um verdadeiro e legal solução rápida waf para nginx e muito superior ao mod_security, exceto alguns casos especiais. há também um conjunto de regras estendido para naxsi doxi-rules , derivado do emerging ameaças - snort-rules.

    
por 04.07.2015 / 07:11

Tags