как может зеркало весь трафик в сетевом интерфейсе, к виртуальному интерфейсу

В вашей ситуации, я думаю, мы можем создать два варианта дизайна, которые могли бы сработать.

1. Запустите snort напрямую на маршрутизаторе.
2. Запустите snort на отдельном блоке, предназначенном для этой цели. .

Запуск на маршрутизаторе

Поскольку вы развернули свой собственный экземпляр Debian для своего маршрутизатора, это просто вопрос установки или компиляции пакетов для вашей версии / архитектуры. Затем вы можете настроить snort для подключения к внутреннему или внешнему интерфейсу, в зависимости от того, какой из них вы хотите отслеживать, и позволить ему рип.

Это может быть легко, не потребует добавления дополнительного оборудования, может быть легко перенастроен для работы в режиме IDP и не потребует каких-либо потенциально странных сетевых конфигураций для работы. Самым большим недостатком будет производительность. Snort может потреблять безумное количество ресурсов. Это может банально съесть всю оперативную память и процессор в системе, что сделает ваш маршрутизатор неспособным, вы знаете, маршрутизировать.

Snort имеет множество вариантов конфигурации. Не просто включение или выключение правил, но и внесение правил в белый список для определенных хостов, регулировка количества байтов памяти, используемой для дефрагментации пакетов, количества пакетов, которые нужно хранить в памяти для повторной сборки потока TCP, и т. Д. Я обычно рекомендую потратить безумное количество времени настраивая эти параметры, и даже после того, как вы настроите их так, как вы хотите, они возвращаются и проводят периодические проверки, чтобы увидеть, нужно ли что-то настраивать.

Запуск выделенного датчика

Обычно это рекомендуемое решение. Это решает проблему сбоя сети для конкуренции за ресурсы. Это позволяет вам использовать специально созданное оборудование, чтобы ваш датчик мог делать именно то, что вы хотите. Это также освободит вас, чтобы добавить дополнительный жесткий диск для запуска daemonlogger или добавить еще немного оперативной памяти без необходимости планировать полное отключение сети. Кроме того, он более масштабируемый. Конечно, я могу запустить snort на Pentium 4 whitebox с pfSense дома, но у меня нет возможности заставить его работать на Juniper EX-8216 на работе. Специально созданный датчик будет одинаково хорошо работать в обеих средах.

Обратной стороной является то, что вы добавляете еще одну систему для управления, еще один блок, потребляющий электроэнергию, больше BTU для эвакуации и т. Д. В зависимости от вашей сетевой инфраструктуры он может или может быть непросто ввести в него данные. У всех основных производителей сетей есть чем заняться. Cisco называет это сеансом SPAN, Juniper - анализатором, Enterasys - зеркалом. Можно выполнить ту же функцию с iptables, используя цель TEE , хотя я не знаю других брандмауэров хоста, которые сказали бы, могут ли они это сделать и как это сделать. В противном случае вы можете использовать сетевой ответвитель, который представляет собой физическое устройство, которое электрически копирует поток данных.

В любом случае, что вам нужно сделать, это получить копию трафика из вашей сетевой инфраструктуры на датчик. Лучший способ сделать это и рекомендуемый метод - иметь в датчике два сетевых адаптера: 1 для управления и 1 для мониторинга. Цена интерфейсов может варьироваться в широких пределах, но если вы не говорите о ситуациях со связью более 1 Гбит / с или постоянной пропускной способностью, приближающейся к 1 Гбит / с, карты довольно дешевы. Я рекомендовал даже простой Intel Pro / 1000 GT, он стоит 30 долларов и делает все, что вам нужно!

Можно запустить на одном интерфейсе, но я не могу рекомендовать это. Скорее всего, вы столкнетесь со странными несоответствиями с вашим мониторингом или с потенциальными проблемами сети из-за проблемы передачи по каналу, который обычно (предполагается?) Будет только приниматься.

Доступно довольно много информации. в теге snort на нашем дочернем сайте для специалистов по информационной безопасности .