Я хочу создать систему Linux, которая действует как мост. Он просто перенаправляет любые данные, отправленные с одного устройства, на следующее устройство. Он не пытается блокировать входящие атаки или перенаправлять любой трафик. Для этого он выполняет роль IDS в сети. Любая подозрительная активность регистрируется и сообщается. Snort мог бы быть одним из таких программ, однако мне было интересно, какие еще решения и идеи есть у остального сообщества.
Если все, что вам нужно, - это мониторинг сети, я бы порекомендовал немного переделать. Включение устройства в систему, например то, что вы предлагаете, действительно полезно только тогда, когда вы хотите иметь возможность выполнять действия с действием. В противном случае это только усложняет вашу сеть и добавляет дополнительную точку отказа. Лучше пассивно отслеживать трафик, используя либо зеркальные порты, либо сетевые ответвители.
Точная терминология для зеркального порта будет отличаться в зависимости от вашего поставщика. Например, Cisco называет их Span Sessions, Juniper использует термин «порт анализатора», но во всех случаях вы заставляете свое сетевое оборудование (обычно коммутатор или маршрутизатор) отправлять копию некоторого набора трафика на другой порт. Точные возможности будут зависеть от оборудования, но, как минимум, вы должны ожидать, что сможете контролировать весь трафик, входящий или исходящий через определенный порт. Часто вы хотите, чтобы это был восходящий канал, но это будет зависеть от того, что именно вы хотите отслеживать и как устроена ваша сеть. Самым большим преимуществом использования зеркального порта является его дешевизна. Это возможность, которая уже существует практически во всем оборудовании корпоративного класса, и для этого просто необходимо, чтобы она была включена. Однако может быть пара недостатков. Поскольку для этого требуется, чтобы сетевое оборудование выполняло больше функций, оно может вызвать дополнительную нагрузку, поэтому в зависимости от того, насколько вы близки к емкости, это может быть проблемой. Большинство оборудования также ограничивает количество вещей, которые вы можете отразить. Большая часть оборудования Cisco ограничена двумя сеансами пролета, и, к вашему сведению, установка FSWM в шасси 6500 занимает один сеанс. Наличие ограничения в два обычно не является проблемой, но, поскольку это довольно низкое число, определенно следует помнить о нем.
Сетевые ответвители позволяют обойти проблемы с производительностью и масштабированием, являясь аппаратными устройствами специального назначения, которые зеркалируют трафик. Они работают, сидя в очереди и физически отделяя сигналы. Таким образом, несмотря на то, что они установлены в линию, они гораздо менее вероятно пострадают в центре города, чем компьютер. Существуют как медные, так и оптоволоконные версии, и они могут быть довольно дорогими (предположим, что ожидается от 500 до 1500 долларов США). Рискуя навредить конкретному поставщику, NetOptics (производитель сетевых ответвителей) действительно имеет разумную записать.
С этого момента использование такой системы, как Snort, относительно безболезненно. Независимо от того, какой метод вы выберете, у вас, вероятно, будет один или два кабеля, которые будут передавать вам все необходимые данные. Затем вы собираете свой Snort-бокс, вставляете дополнительную сетевую карту для мониторинга и подключаете кабель от порта мониторинга. Настройте snort для прослушивания этого интерфейса и просмотра количества ложных срабатываний!