web-dev-qa-db-ja.com

Windows Server 2008のIDS?

私のWindowsServer 2008ボックスは、ネットワークレベルとWebアプリケーションレベルの両方で常に攻撃を受けていると確信しています。

質問は、これらの攻撃をどのように検出するかです。サーバーを監視できる軽量のソフトウェアはありますか?

注:これはVPSで実行しているため、モニタープログラムは同じサーバーで実行する必要があります。

4
Ramaz

IMO、この種の情報を監視しているサーバー上のソフトウェアを完全に信頼することはできません。すべてのトラフィックとサーバーの間に透過的なレイヤーが必要です。サーバーに到達するすべてのトラフィックをミラーリングして分析することにより、「サイドバンド」監視を行うこともできます。しかし、それは実際には保護の可能性をあまり提供しません。

サーバーにMicrosoftIAGまたはTMGをインストールすることを検討できると思いますが、それは少し重いです。 TMGはネットワークレベルの攻撃に対処し、IAGは特にWebアプリレイヤーに対処します。

5
Wesley

SnortをNIDS(ネットワーク侵入検知システム)として利用し、他の何かをHIDS(ホスト侵入検知システム)として利用する、多面的なアプローチを提案します。

HIDSの側面では、PixeliciousはすでにTripwireについて言及していますが、ほのめかされているように、これは非常に高価なソリューションです。

[〜#〜] ossec [〜#〜] は、ニーズにぴったり合う強力なオープンソースHIDSであり、必要に応じて(トレンドマイクロを通じて)商用サポートを利用できます。

Ionx Verisys は商用ですが、Tripwireに代わる軽量で安価な代替品です。

3
Cocowalla

TripwireのようなエンタープライズグレードのIDSを使用するためのリソースは必要ないと思いますか?これは間違いなく効果的です。私が提案できるのは、受信したすべてのリクエストをログに記録することです。したがって、IISで、必ずhttpリクエストをログに記録して確認してください。接続を期待するIP範囲を制限できますか?

Webアプリを認証できますか?匿名アクセスを無効にすると、アプリへの攻撃を大幅に減らすことができるはずです。そうでない場合は、IISサービスとアプリプールの特権を下げることを検討してください。

ネットワーク上にプローブが表示されている場合は、ネットワークサービスを特定し(netstat -anが役立ちます)、オフにできるすべてのスイッチをオフにします。 Windowsファイアウォールをオンにします。ルールを確認し、最小限に制限します。

インストールできるアプリケーションや購入できるデバイスはなく、電源を入れてすべてを問題なく実行できます。最善の防御策は、システムを積極的にレビューすることです。

1
Preflightsiren