Snort:如何使用交换器和分段处理网络设计

日期: 2008-10-26 作者:JP Vossen翻译:Tina Guo 来源:TechTarget中国 英文

你已经决定要配置Snort,这种网络入侵检测系统(IDS),而且已经理解了它基本上是一个嗅探器。如何监控不同的网段,特别是当使用网络交换机或者VLAN(虚拟局域网)时?答案当然是“看情况而定”。   在确定了预定、选好了IDS产品后——例如Snort——你需要确定你需要多少传感器,可以负担多少。在决定需要多少传感器前,必须理解Snort,或者其它的IDS只能监控他们看到的。

在核心路由器和网络中的旧时代,这项任务相对简单_你可以购买你能负担得起的尽可能多的入侵检测系统,并根据风险等级和重要性在每个网段都配置一个IDS。   网络交换机,不像其它的网络中心,并不向网段上的每个端口发送所有的流量。基……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

你已经决定要配置Snort,这种网络入侵检测系统(IDS),而且已经理解了它基本上是一个嗅探器。如何监控不同的网段,特别是当使用网络交换机或者VLAN(虚拟局域网)时?答案当然是“看情况而定”。

  在确定了预定、选好了IDS产品后——例如Snort——你需要确定你需要多少传感器,可以负担多少。在决定需要多少传感器前,必须理解Snort,或者其它的IDS只能监控他们看到的。在核心路由器和网络中的旧时代,这项任务相对简单_你可以购买你能负担得起的尽可能多的入侵检测系统,并根据风险等级和重要性在每个网段都配置一个IDS。

  网络交换机,不像其它的网络中心,并不向网段上的每个端口发送所有的流量。基本上有三种方法。第一个是回头时在战略中心使用网络中心,有时不太赞成,因为它可以减少带宽,并增加中等重要程度的服务网络(又叫做DMZ),它可能有意义,与inweita不贵、非常简单而且有用。

  尽管使用网络交换机,查看所有流量的第二个方法是使用具有port spanning或者port mirroring功能的智能或者管理交换机,不需要说,这些网络交换机的成本很高,但是他们已经在所有最基本和有意耗费成本的环境中使用了。参考厂商的文件或者Web资料,找到如何在摸个硬件上创建mirror ports或者span ports的详细指南。这里有启发作用的两个思科的指南:

  • Cisco Catalyst 4000 Series Switches
  • Cisco Catalyst 6500 Series Switches

  每个VLAN都需要一个span port。每个交换机都限制了很少的span port(有几个原因,其中之一是带宽),所以当设计覆盖范围的时候要考虑这一点。有时,交换机厂商的入侵检测系统可以客服这些限制(例如Cisco安全入侵检测系统刀片),其他需要记住的是span port通常是只读的,他们通常不参与生成树(spanning tree)。(应该和厂商确认。)

  检测(tap)流量的最后一个方法是使用网络监测分路设备(tap)。 有几家公司生产CAT-5和光纤的电缆tap(又叫做网络tap)。Tap的价格在几百美元或者更高。他们很容易安装,但是让他们和IDS传感器一起工作很难。发送和接收通常被分在两个电缆中,所以传感器需要两个网卡。

  不能理解嗅探和交换机和网段如何工作是第一次安装IDS遇到的最常见的问题之一。如果你的IDS查看不到网络流量,或者只有广播或者流出/流向自己的单向流量,几乎可以确定存在交换/生成端口问题。根据IDS传感器的情况,通常可以从设备上运行tcpdump或者windump,校验流量。如果IDS传感器上的应用或者其他不能这么做,在连接了相同的交换端口的笔记本上使用上面的工具、Ethereal或者另外的嗅探器作为IDS。

翻译

Tina Guo
Tina Guo

相关推荐