Архив форумов ЦИТФорума

[scan]

привет all
Встал тут вопрос об установке ids в сетке рабочей группы. Выбрали snort. Возник вопрос куда именно его поставить...

Есть ~20 компов висящих на простом коммутаторе на 10/100. Если поставить снорт на один из них, то он не сможет видеть трафик передаваемый между др.портами на коммутаторе, а очень надо.
Вопрос:
Как грамотно сделать чтоб снорту был виден трафик между всеми компами?
Может взять коммутатор побольше с миррорингом портов и зазеркалить все порты в одни?
Или поставить снорт на каждую из тачек отдельно с единой базой ?
Или забить и поставить его на шлюзе?
_________________
Дураков работа любит

[Andrew Grekhov]

Не понятна постановка задачи.
Поэтому ответ такой:
от чего(кого) защищаетесь туда и ставьте.
Для начала просто поснифирите трафик.
PS. 1Гб лога tcpdump собраный за 2 часа шторма я разгребал месяц,чтобы
через год понять что это было обычное КЗ от неуправляемого свича.

[scan]

[and3008]

Поддерживаю предыдущего оратора. Вы, уважаемый, сами не представляете чего в итоге хотите. Так же верите в сказки и не обладаете здравым прогматизмом.

SNORT - не панацея от всех бед. Он только уведомит о проблеме. Не более. Кроме того будут ложные срабатывания и не будет оповещений при новых угрозах.

Если вы таки хотите воплотить свою идею в лоб, то вот вам решение:

1. Покупаете коммутатор с функцией зеркалирования портов.
2. Настраиваете с каких портов снимать трафик и на какой передавать.
3. К порту-приемнику подключаете комп с настроенным SNORT-ом.

Проблемы, с которыми вы вероятно столкнетесь:
1. Трафик с многих портов не лезет в один порт, происходит потеря трафика и SNORT увидит не все, а значит и отловить сможет не все.
2. Комп со SNORT должен быть весьма шустрым, чтобы переваривать трафик. ОЗУ, процессор, хорошая сетевуха и правильная материнка стоит не дешево.
3. SNORT не идеальная система и будет она вам говорить иногда глупости всякие. И верить им или нет является иногда не простой задачей.
4. Свичи с функцией зеркалирования стоят не дешево.
5. С ростом сети потребуются еще коммутаторы и еще сетевые карты в сервере со SNORT, а то и сами серверы, с учетом п.2 и п.4 все становится не так тривиально и просто, как кажется на первый взгляд


Советы:
Нарисуйте схему информационных потоков предприятия. Что куда идет и где хранится. Как защищается сейчас. Какие сценарии угроз. Откуда они могут происходить. Как от них защитится стандартными средствами (SNORT - не защита, а всего лишь механизм уведомления о угрозе). Переговорите со старшими товарищами (руководством), чтобы была поддержка и понимание с их стороны (кивание головой и "делай, делай, ты у нас головастый" не является достаточным). После понимания как и что, делайте то, что у вас нарисуется в итоге. Только так. Ничего другого не придумано, чтобы там не писали в модных журналах.

[ivashka_1]

Думаю просто автор не понимает сам чего хочет, мой совет почитай пожалуйста лит-ру и всё поймёшь!