¿Cómo debo monitorear las amenazas potenciales a mi sitio?
https://stackoverflow.com/questions/8508
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Al mirar nuestro DB's registro de errores, descubrimos que había un flujo constante de ataques de inyección SQL casi exitosos.Un poco de codificación rápida evitó eso, pero ¿cómo podría haber configurado un monitor tanto para la base de datos como para el servidor web (incluidas las solicitudes POST) para verificar esto?Con esto quiero decir que si existen herramientas disponibles para los niños que utilizan scripts, ¿existen herramientas disponibles que le alertarán sobre su repentino interés aleatorio en su sitio?
Solución
Curiosamente, Scott Hanselman tenía una publicar en UrlScan hoy, que es algo que usted podría hacer para ayudar a monitorear y minimizar amenazas potenciales.Es una lectura bastante interesante.
Otros consejos
Escaneo de URL parece una buena opción para iis6 y 7;También encontré: dotDefender por pago que también cubre Apache o IIS 5-7, y encontré un Saneamiento de inyección SQL ISAPI
También vale la pena señalar que, a la luz de un reciente intento generalizado de inyección SQL, no permitir que la cuenta de usuario de base de datos de su aplicación web consulte las tablas del sistema (en MS SQL Server son sysobjects y syscolumns) es una buena idea.
Creo que este hilo justifica más soluciones gratuitas para Apache y otros servidores web.
Desafortunadamente, la detección de intrusiones no era lo que tenía en mente, por lo que sgfree no es exactamente un monitor de ataques a sitios web, a menos que no entienda cómo funciona.
Si pudiera regresar y modificar el código de su aplicación, le sugeriría integrar log4j/log4net en la aplicación.Desde allí, puede escribir código que verifique un campo de formulario o una URL (por ejemplo, en el nivel global.asax para aplicaciones .NET) y realice una entrada de registro cuando se detecte código malicioso.
Lo bueno de log4j/log4net es que puede configurar un agregador de tipo correo electrónico/buscapersonas/SMS para que tan pronto como se detecte el intento malicioso, se le notifique.
Estoy en el proceso de fusionar algo de código log4net en nuestro sistema CMS que tenemos y estoy buscando hacer esto a la luz de la afluencia de ataques ASPRox que han estado llegando.
El monitoreo de los registros de acceso a la web y a la base de datos debería alertarlo sobre cosas como esta, pero si desea un sistema de alerta con más funciones, le sugeriría algún tipo de IDS/IPS.Sin embargo, necesitará una máquina de repuesto y un conmutador que pueda duplicar puertos.Si los tiene, entonces un IDS es una forma económica de monitorear su tráfico para detectar muchos intentos de intrusión (habrá muchos).Los IDS basados en Snort (www.snort.org) son excelentes y hay algunas versiones gratuitas completamente empaquetadas disponibles.Uno que he usado es StrataGuard (http://sgfree.stillsecure.com/), y se puede configurar como IDS (Sistema de Detección de Intrusiones) o como IPS (Sistema de Prevención de Intrusiones).Es de uso gratuito si su tráfico no supera los 5 Mbps.Si opta por un IDS/IPS, le recomendaría que lo deje funcionar como un IDS simple durante aproximadamente un mes, antes de permitirlo para evitar ataques.
Esto puede ser excesivo, pero si tiene una máquina de repuesto por ahí, no está de más tener un IDS funcionando pasivamente.
Puede configurar su sistema para que envíe algún mensaje de error que luego realice una llamada JSON o http a un sistema que monitoreará, informará (registrará) y enviará cualquier tipo de alerta, como SMS/correo electrónico o una llamada telefónica.
Visita desarrollador.alertcaster.com
Especialmente si necesita monitorear múltiples eventos simultáneos, lo cual parece que está sucediendo, esta podría ser una buena solución.
