Snort & FreeBSD

Надо сильно упасть в детстве на голову, чтобы на массовый виртуальный хостинг ставить snort (или любую другую IDS). Тут я целиком и полностью с netwind согласен.

понил. хотел услышать мнения

Вот если бы понял, а не понил, вопросов было бы меньше:)

а что плохого в IDS на шареде? Ну может просто руки немного не так растут, что ложные срабатывания появляются в безумных количествах, я не знаю...

Это будет как минимум "золотой" хостинг (по ценам для клиентов). Чтобы окупить безумные затраты на создание и поддержку правил, общение с клиентами из-за ложных срабатываний и т.п. (а, Вы "опять" мне клиентов веб-магазина блокируете...).

Не, ну конечно если сервер _один_ - у таких "хостеров" руки обязательно растут из нужного места.

PS:

Мне вот кажется, что буйную энергию свою такому "хостеру" лучше направить на то, чтобы хостинг просто оправдывал свое название. Клиенты были бы достаточно изолированны друг от друга, в том числе по ресурсам, своевременно блокировались грузчики, был бы бекап.

Вот уж с чем не согласен. сервера у хостеров имеют _шаблонную_ конфигурацию... по софту.

Тоже в детстве упали видимо, и сильно ударились.

IDS Пропускает через себя трафик весь, одно это будет вас в водить в коматозное состояние, и всю систему, и самое главное что 60% этой информации будет просто информация.

Я уже молчу про то, что он будет писать, о том что в вашей системе проблемы с безопасностью. и с пол кило писем будет слать на маил, при этом предпринимая действие какое либо к ПО и к system,это будет ваше второе коматозное состояние.

И самое главное, он чуточку отщипнёт от вашего сервера ресурсов, и в зависимости от нагрузки, он будет откусывать ещё, и в пиковые моменты будет ваш хостинг, мягко говоря в коматозном состояние, как и вы.

Или у вас будет Золотой хостинг !

Ага, а править этот шаблон будет Пушкин? Правила IDS надо написать и сопровождать. Это эвристики, так что если хотите, чтобы они были полезны - они также и проблемы постоянные будут Вам доставлять. Количество которых как минимум линейно растет с числом клиентов.

Простой пример - Вы решили порезать запросы с подстрокой union (см. пример zexis). А на каком-то сервере у Вас вдруг оказался веб-проект, в котором эта подстрока вполне штатно используется в запросах.

И че терь делать? Молча мешать работе сайта клиента? Править шаблон? Учить клиента жизни: "а Вы не пишите в адресной строке матом, а то у нас тут IDS работает"?

Про ресурсы я уже молчу. А с легитимным трафиком Вы погорячились. Его поболее, чем 60% - эдак к 99% ближе.

Согласен, что вменяемый хостер не должен сам без согласования с клиентом контролировать (и тем более блокировать по своим правилам) трафик к серверу клиента.

Делать это нужно лишь по просьбе клиента и за оговариваемую плату.

Да и проблемы такой нет. Я не слышал о случаях, что бы какие то IP блокировались лишь по инициативе хостера.

Наоборот, большинство хостеров чаще всего не желают вникать в проблемы атак на клиентов.

Когда же система обнаружения атак строится самим владельцем сайта или же с его участием, то тогда такая система будет действительно полезна.

Так как системы обнаружения атак строятся на обнаружении аномалий трафика. Часто лишь владелец сайта может решить какой трафик считать аномальным, а какой легитимным.

Здесь я говорю НЕ о защите от ддос. Так как при ддосе трафик анамален более явно. Это можно определить и без участия владельца сайта.

Определять атаку не составит труда, тут IDS не нужен :) он совсем не нужен, в целях хостера вот в чём дела, он только навредит.