%EC%9D%B4%20%EB%B0%A9%ED%99%94%EB%B2%BD%EC%9C%BC%EB%A1%9C%20%EB%B3%B4%ED%98%B8%EB%90%98%EB%8A%94%20%EC%9B%B9%20%EC%84%9C%EB%B2%84%EC%97%90%20%EC%A0%81%ED%95%A9%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
새로운 IPv4/IPv6 수신 연결에는 TCP 포트 80과 443만 허용되는 상태 저장 방화벽이 있는 서버에서 Apache를 실행하고 있습니다. 소수의 신뢰할 수 있는 호스트와 특정 ICMP/ICMPv6 메시지 및 UDP 대상 포트 33434 - 33534(UDP 모드의 추적 경로)만 모든 곳에서 허용됩니다. 나가는 트래픽은 방화벽으로 보호되지 않습니다. 서버의 이러한 환경에서 IDS(예: Snort)를 실행하는 데 어떤 의미가 있습니까? 그렇다면 어떤 영향을 완화하거나 추가 가시성을 제공합니까?
답변1
때에 따라 다르지.
접근 가능한 웹 포트에 호스팅된 애플리케이션이 손상되어 권한 상승 취약점이 있는 경우. 당신은 모를 것이다. 방화벽이 제대로 작동했지만 시스템(및 네트워크)이 손상되었습니다.
시스템 재부팅 시 방화벽이 다시 시작되지 않으면 일종의 IDS 안전망이 일부 오작동을 경고할 수 있습니다.
0day가 무엇인지 모른다면, 표시되지 않고 시스템에서 언제 사용되는지 전혀 알 수 없습니다.
취미 블로그라면 그럴 필요가 없습니다. 그것이 DMZ이고 기업 네트워크의 진입점이라면 좀 더 유용할 수도 있습니다.