侵入検知システム(IDS)はファイアウォールで保護されているWebサーバーに適していますか?

侵入検知システム(IDS)はファイアウォールで保護されているWebサーバーに適していますか?

新しいIPv4 / IPv6リスニング接続は、TCPポート80と443のみが許可されているステートフルファイアウォールを持つサーバーでApacheを実行しています。少数の信頼できるホストと特定のICMP / ICMPv6メッセージとUDPターゲットポート33434 - 33534(UDPモードのトレースパス)のみがどこでも許可されています。発信トラフィックはファイアウォールで保護されません。サーバーのこれらの環境でIDS(Snortなど)を実行するにはどういう意味がありますか?それでは、どのような影響を軽減するか、さらに可視性を提供しますか?

答え1

時々違うよね

アクセス可能なWebポートでホストされているアプリケーションが破損し、特権昇格の脆弱性がある場合。あなたは知らないでしょう。ファイアウォールは正常に動作しましたが、システム(およびネットワーク)が破損しています。

システムの再起動時にファイアウォールが再起動しない場合は、IDSセーフティネットの一部がいくつかの誤動作を警告する可能性があります。

0dayが何であるかわからない場合は、表示されず、システムでいつ使用されるのかわかりません。

趣味のブログならそれは必要ありません。それがDMZであり、企業ネットワークのエントリポイントであれば、もう少し便利です。

関連情報