Как можно зеркалировать весь трафик на сетевом интерфейсе, на виртуальный интерфейс

В вашей ситуации, я думаю, мы можем разработать два варианта дизайна, которые могут сработать.

1. Запустите snort на маршрутизаторе напрямую.
2. Запустите snort в отдельном окне, предназначенном для этой цели.

Работает на роутере

Поскольку вы создали свой собственный экземпляр Debian для своего маршрутизатора, это будет просто вопрос установки или компиляции пакетов для вашей версии / архитектуры. Затем вы можете настроить snort для подключения к внутреннему или внешнему интерфейсу, в зависимости от того, какой из них вы хотите отслеживать, и позволить копировать.

Это может быть легко, не потребует добавления дополнительного оборудования, может быть легко перенастроено для работы в режиме IDP и не потребует каких-либо нечетных сетевых конфигураций для работы. Самым большим недостатком будет производительность. Snort может потреблять безумное количество ресурсов. Это может просто поглотить всю оперативную память и процессор в системе, что делает ваш маршрутизатор неспособным, вы знаете, маршрутизировать.

У Snort есть множество вариантов конфигурации. Не только включение или выключение правил, но и внесение в белый список правил для определенных хостов, настройка количества байтов памяти, используемой для дефрагментации пакетов, количества пакетов, хранящихся в памяти для повторной сборки потока TCP, и т. Д. Я обычно рекомендую тратить безумное количество времени настройте эти параметры, и даже после того, как вы их получите, задайте способ, которым вы хотите, чтобы они возвращались назад и делали периодические обзоры, чтобы увидеть, нужно ли что-то настраивать.

Запуск выделенного датчика

Обычно это рекомендуемое решение. Это решает проблему отключения сети для конкуренции за ресурсы. Это позволяет вам использовать специально изготовленное оборудование, чтобы вы могли заставить свой датчик делать именно то, что вы хотите. Это также освободит вас от необходимости добавления дополнительного жесткого диска для запуска daemonlogger или добавления дополнительной оперативной памяти без необходимости планирования полных отключений сети. Это также более масштабируемо. Конечно, я могу запустить snort на белой коробке Pentium 4 с pfSense дома, но я не смогу заставить ее работать на Juniper EX-8216 на работе. Специальный датчик будет работать одинаково хорошо в обеих средах.

Недостатком является то, что вы добавляете еще одну систему для управления, еще одну коробку, потребляющую электроэнергию, больше BTU для эвакуации и т. Д. В зависимости от вашей сетевой инфраструктуры, может быть или не быть легко получить данные в нее. У всех крупных сетевых поставщиков есть чем заняться. Cisco называет это сеансом SPAN, Juniper называет его анализатором, Enterasys называет это зеркалом. Можно выполнить ту же функцию с iptables, используя цель TEE, хотя я не знаю других брандмауэров хоста, чтобы сказать, могут ли они или как это сделать. В противном случае вы можете использовать сетевой отвод, который является физическим устройством, которое электрически копирует поток данных.

В любом случае, вам нужно получить копию трафика из вашей сетевой инфраструктуры на ваш датчик. Лучший способ сделать это, и рекомендуемый метод, состоит в том, чтобы в вашем датчике было два сетевых адаптера: 1 для управления и 1 для мониторинга. Цены на интерфейсы могут варьироваться в широких пределах, но если вы не говорите о ситуациях со ссылками более 1 Гбит / с или с постоянной пропускной способностью, приближающейся к 1 Гбит / с, карты довольно дешевы. Я рекомендую даже простой Intel Pro/1000 GT, все стоит 30 долларов и сделай все, что тебе нужно!

Можно работать на одном интерфейсе, но я не могу этого рекомендовать. Скорее всего, у вас возникнут странные несоответствия с вашим мониторингом или потенциальные проблемы в сети из-за проблемы передачи по каналу, который обычно ожидается (предполагается?) Только для получения.

На нашем дочернем сайте для специалистов по информационной безопасности имеется достаточно информации о теге snort.