Linux
在沒有埠鏡像交換機的情況下使用 Snort
我正在嘗試在我的實驗室的虛擬機上設置 Snort IDS。我的問題是,通常這類 IDS 連接到交換機的鏡像埠。我的實驗室沒有這樣的設備。這是我的拓撲:
[Internet]->[Linux Firewall+NAT]->[Local Subnets]
我想將我的 Snort VM(連接到我的 192.168.0.0/24 子網)連接到我的 Linux 防火牆,有沒有辦法,使用 IPTABLES 或類似的東西,我可以做到這一點?
(這可能是不可能的,因為我們想收聽 Trasport Layer 幀……)
或者是否可以在我的防火牆上收集數據並讓我的 Snort VM 遠端分析它?
我在這裡有什麼選擇?
謝謝你分享你的知識!
在 Linux 防火牆上執行 snort。您可以使用 VM 執行 MySQL 並配置 snort 以記錄到它,如下所示:
output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host