Estou executando o Apache em um servidor com firewall stateful onde novas conexões de entrada IPv4/IPv6 são permitidas apenas para as portas TCP 80 e 443. O SSH é permitido de alguns hosts confiáveis e apenas algumas mensagens ICMP/ICMPv6 e portas de destino UDP 33434 - 33534( traceroute no modo UDP) são permitidos de todos os lugares. O tráfego de saída não é protegido por firewall. Existe um ponto de execução do IDS (por exemplo, Snort) em tal ambiente no servidor? Se sim, o que isso atenua ou que visibilidade adicional oferece?
relate perguntas
-
Regras do Iptables para permitir que o appVM passe pelo proxyVM configurado para passar apenas por uma VPN no QubesOS
-
Fortalecendo a segurança dos servidores rhel6/7 [fechado]
-
É possível manter um servidor como refém se alguém tiver acesso root? [fechado]
-
Como fazer todo o tráfego passar por uma interface no Linux
-
Existe um daemon syslog que implementa RFC 5848 "Signed Syslog Messages"?
Depende.
Se suas portas da Web acessíveis estiverem hospedando um aplicativo que é pwn e tem uma exploração de escalonamento de privilégios. Você não vai saber. Seu firewall fez seu trabalho, mas seu sistema (e rede) está protegido.
Se o seu firewall não reiniciar na reinicialização do sistema, a rede de segurança de um IDS de algum tipo pode alertá-lo sobre algum mau comportamento.
Se você não sabe o que o dia 0 existe, talvez nunca saiba quando eles são usados em seus sistemas sem a visibilidade.
Se for o seu blog de hobby, não é necessário. Se for um ponto de entrada em sua DMZ e rede corporativa - talvez um pouco mais útil.