Как использовать экземпляр snort для защиты веб-сервера

Question

Как использовать экземпляр snort для защиты веб-сервера

Это интересная сеть! Любая помощь будет принята с благодарностью! Я подозреваю, что я не близок к решению проблемы.

У меня есть экземпляр Snort IDS на AWS с IP-адресом, например, 10.10.10.10, и у меня есть веб-сайт с IP-адресом, например, 8.50.200.40.

В настоящее время у меня есть это правило фырканья: alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Мой $ HOME_NET определяется как: ipvar HOME_NET 8.50.200.40/0.

На веб-сервере я временно разрешил ICMP в группах безопасности AWS.

Однако я не могу заставить правило snort работать, я боюсь, что окно snort не может видеть сетевой трафик к веб-серверу, потому что он не находится в той же подсети?

Есть ли что-то, что я могу изменить с помощью моей конфигурации AWS? Или я пропустил шаг?

Спасибо заранее!

0

amazon-web-services networking subnet snort intrusion-detection

Источник

user4442013 10 сен '16 в 17:18

1 ответ

Другие вопросы по тегам amazon-web-services networking subnet snort intrusion-detection

user1153938 10 сен '16 в 17:37 2016-09-10 17:37 · Answer 1 · 2016-09-10 17:37

Все блокируется, если вы не разрешите это, поэтому вам нужно добавить правило в экземпляр EC2, чтобы разрешить ping. Хорошо ты это сделал

Затем попробуйте включить журнал потоков, чтобы узнать, попадает ли пинг в VPC. http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html