Lean, но эффективный linux IDS / IPS / WAF?
Я ищу простое, но эффективное решение IDS/IDP/WAF для моего крошечного веб-сервера VPS.
В настоящее время я уже использую iptables и psad, но многие попытки сканирования веб-сервера проваливаются. Я использую ngingx, но предпочел бы независимое от веб-сервера решение.
Каков эффективный и эффективный подход для защиты моего крошечного сервера от постоянно сканирующих вредоносных ботов? Предпочтительно низкие эксплуатационные расходы - VPS также не слишком мощный.
Большое спасибо за советы и рекомендации.
1 ответ
Если это просто веб-приложение, которое вы хотите защитить, тогда ModSecurity будет моей первой рекомендацией, несмотря на то, что вы говорите, что хотите независимости веб-сервера.
Альтернативы, как правило, включают что-то вроде Snort, OSSEC, Bro, Fail2Ban и компании. У каждого есть свои сильные и слабые стороны. OSSEC и Fail2Ban могут читать файлы журналов и обновлять правила брандмауэра, но в значительной степени неэффективны против распределенных ботнетов. Они будут определять отдельные попытки, но многие боты будут пытаться по одному в целом с большой задержкой от каждой. Сказав, что есть много глупых, которые постоянно стучат в дверь.
Фырканье и т. П. Немного здоровенно и требуют осторожного ухода, чтобы избежать множества ложных срабатываний, хотя, поскольку он на одной коробке, а не на всей сети, это должно быть немного проще. Также вам придется создавать свои собственные действия, например, используя Fail2Ban для чтения логов.
С другой стороны, тщательно настроенный ModSecurity, вероятно, даст вам лучшие результаты при меньших затратах, чем Snort и другие. и он уже предназначен для защиты того, что вы хотите защитить, а не быть универсалом, как другие.