Я хочу / мне нужно начать немного лучше контролировать нашу сеть. Это странная сеть, состоящая из 2/22 общедоступных IP-адресов и множества частных административных IP-адресов. У меня есть одна точка в сети, где все это собирается вместе, и я могу включить зеркалирование портов на катализаторе. Из этого порта я бы хотел запустить ящик с различными утилитами. Snort занимает первое место в моем списке, но было бы неплохо получить некоторую сетевую статистику с помощью чего-то вроде Netflow.
Итак, что думают люди. Я могу легко найти коробку, необходимую для этого. У нас есть оборудование. Что мне бежать? Я хотел бы знать, какие неприятные вещи потенциально происходят, но я также хотел бы видеть статистику того, что люди делают в сети, чтобы я мог лучше настроить наши системы, чтобы лучше справляться с этим и повышать производительность.
Я открыт, поэтому, пожалуйста, дайте мне несколько идей, чтобы согласиться с тем, что у меня есть.
Это идеальное место, чтобы понюхать. Если вы готовы потратить время на настройку фырканья, чтобы оно было полезным (оно не из коробки, слишком шумно), оно может быть одновременно образовательным и полезным! Двойная победа.
Я не уверен в деталях, но мы извлекаем данные о чистом потоке из нашего оборудования Cisco и собираем их в специальном ящике для анализа. Это не тот компьютер, на котором мы запускаем нашу IPS, но он очень близок к нему с точки зрения сети. Данные потока также очень полезны, и не только для поиска людей, загружающих / скачивающих файлы .iso.
Вы также можете взглянуть на это: http://www.linux-magazine.com/Issues/2009/109/Security-Lessons/%28kategorie%29/0, захватывать и сохранять сетевой трафик, а затем воспроизводить и анализировать его на досуге. Предполагая, что ваши сетевые ссылки не слишком велики, вы можете легко буферизовать день или два трафика и иметь что проверить, если вы обнаружите атаку.
Но начните с Snort и настраивайте его до тех пор, пока шум не исчезнет наверняка!