Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
scan
Зарегистрирован: 15.04.2005 Сообщения: 23
|
Добавлено: Вт Сен 22 2009 00:04 Заголовок сообщения: размещение ids в сети |
|
|
привет all
Встал тут вопрос об установке ids в сетке рабочей группы. Выбрали snort. Возник вопрос куда именно его поставить...
Есть ~20 компов висящих на простом коммутаторе на 10/100. Если поставить снорт на один из них, то он не сможет видеть трафик передаваемый между др.портами на коммутаторе, а очень надо.
Вопрос:
Как грамотно сделать чтоб снорту был виден трафик между всеми компами?
Может взять коммутатор побольше с миррорингом портов и зазеркалить все порты в одни?
Или поставить снорт на каждую из тачек отдельно с единой базой ?
Или забить и поставить его на шлюзе? _________________ Дураков работа любит |
|
Вернуться к началу |
|
|
Andrew Grekhov
Зарегистрирован: 29.06.2005 Сообщения: 200
|
Добавлено: Вт Сен 22 2009 17:46 Заголовок сообщения: |
|
|
Не понятна постановка задачи.
Поэтому ответ такой:
от чего(кого) защищаетесь туда и ставьте.
Для начала просто поснифирите трафик.
PS. 1Гб лога tcpdump собраный за 2 часа шторма я разгребал месяц,чтобы
через год понять что это было обычное КЗ от неуправляемого свича. |
|
Вернуться к началу |
|
|
scan
Зарегистрирован: 15.04.2005 Сообщения: 23
|
Добавлено: Ср Сен 23 2009 10:21 Заголовок сообщения: |
|
|
Andrew Grekhov писал(а): |
Не понятна постановка задачи.
Поэтому ответ такой:
от чего(кого) защищаетесь туда и ставьте.
Для начала просто поснифирите трафик.
PS. 1Гб лога tcpdump собраный за 2 часа шторма я разгребал месяц,чтобы
через год понять что это было обычное КЗ от неуправляемого свича.
|
мне не надо дампить трафик на диск. мне надо чтоб снорт мог видеть(проанализировать) трафик между двумя ЛЮБЫМИ пормами на коммутаторе в который он(snort) воткнут. не знаю на сколько это рально, но слыхал что типа для этих целей есть дохрена умные коммутаторы, которые позволяют поток данных между одной группы портов зеркалировать на др. группу. вот. если гне не прав - поправьте. _________________ Дураков работа любит |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Сен 23 2009 23:58 Заголовок сообщения: |
|
|
Поддерживаю предыдущего оратора. Вы, уважаемый, сами не представляете чего в итоге хотите. Так же верите в сказки и не обладаете здравым прогматизмом.
SNORT - не панацея от всех бед. Он только уведомит о проблеме. Не более. Кроме того будут ложные срабатывания и не будет оповещений при новых угрозах.
Если вы таки хотите воплотить свою идею в лоб, то вот вам решение:
1. Покупаете коммутатор с функцией зеркалирования портов.
2. Настраиваете с каких портов снимать трафик и на какой передавать.
3. К порту-приемнику подключаете комп с настроенным SNORT-ом.
Проблемы, с которыми вы вероятно столкнетесь:
1. Трафик с многих портов не лезет в один порт, происходит потеря трафика и SNORT увидит не все, а значит и отловить сможет не все.
2. Комп со SNORT должен быть весьма шустрым, чтобы переваривать трафик. ОЗУ, процессор, хорошая сетевуха и правильная материнка стоит не дешево.
3. SNORT не идеальная система и будет она вам говорить иногда глупости всякие. И верить им или нет является иногда не простой задачей.
4. Свичи с функцией зеркалирования стоят не дешево.
5. С ростом сети потребуются еще коммутаторы и еще сетевые карты в сервере со SNORT, а то и сами серверы, с учетом п.2 и п.4 все становится не так тривиально и просто, как кажется на первый взгляд
Советы:
Нарисуйте схему информационных потоков предприятия. Что куда идет и где хранится. Как защищается сейчас. Какие сценарии угроз. Откуда они могут происходить. Как от них защитится стандартными средствами (SNORT - не защита, а всего лишь механизм уведомления о угрозе). Переговорите со старшими товарищами (руководством), чтобы была поддержка и понимание с их стороны (кивание головой и "делай, делай, ты у нас головастый" не является достаточным). После понимания как и что, делайте то, что у вас нарисуется в итоге. Только так. Ничего другого не придумано, чтобы там не писали в модных журналах. |
|
Вернуться к началу |
|
|
ivashka_1
Зарегистрирован: 11.12.2009 Сообщения: 2 Откуда: Псков
|
Добавлено: Пт Дек 11 2009 16:43 Заголовок сообщения: |
|
|
Думаю просто автор не понимает сам чего хочет, мой совет почитай пожалуйста лит-ру и всё поймёшь! |
|
Вернуться к началу |
|
|
|