Использование Snort без зеркального переключателя портов

Question

Использование Snort без зеркального переключателя портов

Я пытаюсь настроить Snort IDS на виртуальной машине для своей лаборатории. Моя проблема в том, что обычно эти виды IDS подключаются к зеркальному порту коммутатора. В моей лаборатории такого устройства нет. Вот моя топология:

[Internet]->[Linux Firewall+NAT]->[Local Subnets]

Я хотел бы подключить мою виртуальную машину Snort (подключенную к моей подсети 192.168.0.0/24) к моему брандмауэру Linux, есть ли способ, используя IPTABLES или что-то подобное, что я могу достичь этого?

(Это может быть невозможно, так как мы хотим слушать кадры Trasport Layer...)

Или можно было бы собирать данные на моем брандмауэре, и моя виртуальная машина Snort анализировала их удаленно?

Какие у меня есть варианты?

Спасибо, что поделились своими знаниями!

0

linux firewall snort ids

Источник

m6a-uds 04 мар '13 в 03:23

1 ответ

Решение

Другие вопросы по тегам linux firewall snort ids

dmourati 04 мар '13 в 04:18 2013-03-04 04:18 · Accepted Answer · 2013-03-04 04:18

Запустите snort на брандмауэре Linux. Вы можете использовать виртуальную машину для запуска MySQL и настроить snort для входа в нее следующим образом:

output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host

0

Источник

dmourati 04 мар '13 в 04:18