Networking

如何將網路介面上的所有流量鏡像到虛擬介面

  • November 4, 2012

我正在嘗試在也用作路由器的 debian 機器上設置 snort 以充當 id。理想情況下,我想以這樣的方式設置 snort,這樣我就不必購買額外的網路適配器來讓它監聽 debian 機器已經處理的相同流量。話雖如此,從介面鏡像流量然後將鏡像流量發送到 snort 的最佳方法是什麼?或者你會建議我走另一條路嗎?我在想一座橋可能會起作用,但我不確定這是否是正確的解決方案,任何幫助將不勝感激,謝謝!

在您的情況下,我認為我們可以建構兩個可能可行的設計選項。

  1. 直接在路由器上執行snort。
  2. 在專門用於此目的的單獨盒子上執行 snort。

在路由器上執行

由於您已經為您的路由器推出了自己的 Debian 實例,因此只需為您的版本/架構安裝或編譯軟體包即可。然後,您可以將 snort 配置為附加到內部或外部介面,具體取決於您要監視的介面,然後讓 ’er rip。

這很容易,不需要添加任何硬體,可以很容易地重新配置為在 IDP 模式下執行,並且不需要任何可能奇怪的網路配置即可工作。最大的缺點將是性能。Snort 會消耗大量資源。它可能會輕而易舉地耗盡系統中的所有 RAM 和 CPU,從而使您的路由器無法路由。

Snort 有大量的配置選項。不僅是打開或關閉規則,還包括某些主機的白名單規則,調整用於數據包碎片整理的記憶體字節數,儲存在記憶體中以進行 TCP 流重組的數據包數量等。我通常建議花費大量時間調整這些參數,甚至在你讓它們設置好你希望它們返回並定期審查的方式之後,看看是否有任何需要調整的地方。

執行專用感測器

這通常是推薦的解決方案。它解決了資源競爭的網路中斷問題。它允許您使用特製的硬體,這樣您就可以使您的感測器完全按照您的意願工作。這也將使您騰出時間來添加額外的硬碟驅動器來執行 daemonlogger,或者投入更多的 RAM,而無需處理安排完整的網路中斷。它也更具可擴展性。當然,我可以在家裡執行 pfSense 的 Pentium 4 whitebox 上執行 snort,但我無法讓它在工作的 Juniper EX-8216 上執行。專門建構的感測器在這兩種環境中都可以正常執行。

缺點是您要添加另一個系統來管理,另一個消耗功率的盒子,更多的 BTU 需要疏散等。根據您的網路基礎設施,將數據輸入其中可能很容易,也可能不容易。各大網路廠商都有這方面的工作。Cisco 稱之為 SPAN 會話,Juniper 稱之為 Analyzer,Enterasys 稱之為 Mirror。使用TEE目標可以使用 iptables 執行相同的功能,儘管我不知道任何其他主機防火牆說它們是否可以或如何做到這一點。失敗了,您可以使用網路分接頭,這是一種電子複製數據流的物理設備。

無論如何,您要做的就是獲取從網路基礎設施到感測器的流量副本。最好的方法和推薦的方法是在感測器中安裝兩個 NIC:1 個用於管理,1 個用於監控。介面的價格可能相差很大,但除非您談論的是鏈路大於 1Gbps 或持續吞吐量接近 1Gbps 的情況,否則卡非常便宜。我一直在推荐一個簡單的 Intel Pro/1000 GT,東西是 30 美元,做你需要的一切!

可以在一個界面上執行,但我不推薦它。由於在通常預期(假設?)僅接收的連結上傳輸的問題,您很可能會遇到奇怪的監控不一致或潛在的網路問題。

我們的姊妹網站上的資訊安全專業人員的snort 標籤上有相當多的資訊。

引用自:https://serverfault.com/questions/445135