Я думал об установке snort на свой выделенный сервер. У меня около 100 доменов / клиентов. Что я должен учитывать здесь за и против? Использование памяти, влияние на пропускную способность?
Вопрос немного вводит в заблуждение. Вы сначала говорите на своем веб-сервере, чем на своем выделенном сервере.
Тем не менее, Snort считается облегченным IDS и может работать на множестве различных платформ от Windows
к Unix
и все, что посередине. Я бы порекомендовал вам установить его отдельно, хотя на что-то вроде Ubuntu
вместо Windows
Платформа. Если оставить его отдельно, это также не повлияет на работу каких-либо производственных функций на ваших серверах. Ваш IDS выходит из строя намного более терпимо, чем говорят ваш сервер Exchange.
На вашем сервере должна быть по крайней мере одна сетевая карта, на которую вы можете зеркалировать трафик. Если вы хотите иметь доступ к вашему серверу Snort через сеть в целях управления, вам понадобится вторая сетевая карта. Сетевая карта, получающая зеркальный трафик, будет недоступна для управления. Также карта NIC должна соответствовать порту, к которому она подключена. Сетевой карты 10/100 будет недостаточно при подключении к порту 1 Гбит, потому что она будет отбрасывать очень много пакетов. Для интерфейса управления подойдет 10/100, поскольку он предназначен просто для управления, а не для потока пакетов.
Хотя Snort
сам по себе не требует многого в виде системных требований, графический интерфейс, который вы выбираете для просмотра данных, может быть таким, если вы его используете. Snorby
- распространенный и популярный графический интерфейс для Snort, который использует базу данных SQL. Пространство на жестком диске было бы общей проблемой. Слишком маленький размер и слишком много предупреждений о наборе правил довольно быстро заполнят жесткий диск. Если вы хотите активно поддерживать его, я думаю, что накопитель на 120 ГБ будет достаточно хорош в небольшой среде. Это также сводится к тому, сколько именно трафика вы увидите и сколько пользователей в сети.
Snort не влияет на пропускную способность, за исключением загрузки новых наборов правил. Зеркальный порт получает большую часть зеркалируемого трафика от коммутатора или маршрутизатора, но он не транслируется напрямую в использование полосы пропускания. Что может случиться, так это в том случае, если через это устройство проходит большой объем трафика, и оно не может справиться с нагрузкой по зеркалированию трафика.