Я пытаюсь настроить snort для работы в качестве идентификаторов на машине debian, которая также работает как маршрутизатор. В идеале я хотел бы настроить snort таким образом, чтобы мне не приходилось покупать дополнительный сетевой адаптер только для того, чтобы он слушал тот же трафик, который уже обрабатывает машина debian. Сказав это, как лучше всего отразить трафик с интерфейса, а затем отправить зеркальный трафик на snort? Или вы порекомендуете мне пойти другим маршрутом? Я думал, что мост может работать, но я не уверен, что это будет правильным решением, любая помощь будет оценена, спасибо!
В вашей ситуации, я думаю, мы можем разработать два варианта дизайна, которые, вероятно, сработают.
Поскольку вы установили собственный экземпляр Debian для своего маршрутизатора, это просто вопрос установки или компиляции пакетов для вашей версии / архитектуры. Затем вы можете настроить snort для подключения к внутреннему или внешнему интерфейсу, в зависимости от того, какой из них вы хотите отслеживать, и позволить ему копировать.
Это может быть легко, не потребуется добавлять дополнительное оборудование, можно легко перенастроить для работы в режиме IDP, и для работы не потребуются какие-либо потенциально странные конфигурации сети. Самым большим недостатком будет производительность. Snort может потреблять безумное количество ресурсов. Это может тривиально съесть всю оперативную память и процессор в системе, что сделает ваш маршрутизатор неспособным, вы знаете, маршрутизировать.
У Snort есть масса вариантов конфигурации. Не только включение или выключение правил, но и внесение правил в белые списки для определенных хостов, регулировка количества байтов памяти, используемой для дефрагментации пакетов, количества пакетов для хранения в памяти для повторной сборки потока TCP и т. Д. Я обычно рекомендую потратить безумное количество времени настраивая эти параметры, и даже после того, как вы настроите их так, как вы хотите, они возвращаются и проводят периодические проверки, чтобы увидеть, нужно ли что-то настраивать.
Обычно это рекомендуемое решение. Это решает проблему сбоя сети для конкуренции за ресурсы. Это позволяет вам использовать специально созданное оборудование, чтобы ваш датчик мог делать именно то, что вы хотите. Это также позволит вам добавить дополнительный жесткий диск для запуска daemonlogger или добавить еще немного оперативной памяти без необходимости планировать полное отключение сети. Кроме того, он более масштабируемый. Конечно, я могу запустить snort на Pentium 4 whitebox с pfSense дома, но я никак не могу заставить его работать на Juniper EX-8216 на работе. Специальный датчик будет одинаково хорошо работать в обеих средах.
Обратной стороной является то, что вы добавляете еще одну систему для управления, еще один блок, потребляющий мощность, больше BTU для эвакуации и т. Д. В зависимости от вашей сетевой инфраструктуры может или не может быть легко передать данные в нее. У всех основных производителей сетей есть чем заняться. Cisco называет это сеансом SPAN, Juniper - анализатором, Enterasys - зеркалом. Можно выполнить ту же функцию с iptables, используя Тройник target, хотя я не знаю других брандмауэров хоста, чтобы сказать, могут ли они это сделать и как это сделать. В противном случае вы можете использовать сетевой ответвитель, который представляет собой физическое устройство, электрически копирующее поток данных.
В любом случае вам нужно получить копию трафика из сетевой инфраструктуры на датчик. Лучший способ сделать это и рекомендуемый метод - иметь в датчике два сетевых адаптера: 1 для управления и 1 для мониторинга. Цена на интерфейсы может варьироваться в широких пределах, но если вы не говорите о ситуациях со связями более 1 Гбит / с или постоянной пропускной способностью, приближающейся к 1 Гбит / с, карты довольно дешевы. Я рекомендовал даже простой Intel Pro / 1000 GT, он стоит 30 долларов и делает все, что вам нужно!
Можно запустить на одном интерфейсе, но рекомендовать не могу. Вы, скорее всего, столкнетесь со странными несоответствиями с вашим мониторингом или потенциальными проблемами сети из-за проблемы передачи по ссылке, которая обычно ожидается (предполагается?) Только для приема.
Достаточно много информации доступно на тег snort на нашем дочернем сайте для Специалисты по информационной безопасности.
Когда я запустил snort, я запустил его на маршрутизаторе. Это не требует дополнительного интерфейса для отправки трафика. Риск состоит в том, что если snort неправильно обрабатывает данные и выполняет их, у него будет более легкий доступ к сети, чем в противном случае.