web-dev-qa-db-ja.com

ネットワークインターフェイス上のすべてのトラフィックを仮想インターフェイスにミラーリングするにはどうすればよいですか

ルーターとしても機能するDebianマシンで、IDとして機能するようにsnortをセットアップしようとしています。理想的には、Debianマシンがすでに処理しているのと同じトラフィックをリッスンするためだけに、追加のネットワークアダプターを購入する必要がないようにsnortをセットアップしたいと思います。そうは言っても、インターフェイスからのトラフィックをミラーリングしてから、ミラーリングされたトラフィックをsnortに送信するための最良の方法は何でしょうか。それとも、別のルートを進むことをお勧めしますか?橋がうまくいくかもしれないと思っていましたが、それが正しい解決策かどうかはわかりません。助けていただければ幸いです。ありがとうございます。

1
lacrosse1991

あなたの状況では、うまくいく可能性のある2つの設計オプションを構築できると思います。

  1. ルーターで直接snortを実行します。
  2. この目的専用の別のボックスでsnortを実行します。

ルーターで実行中

ルーター用に独自のDebianインスタンスをロールしたので、バージョン/アーキテクチャーのパッケージをインストールまたはコンパイルするだけです。次に、監視するインターフェイスに応じて、内部インターフェイスまたは外部インターフェイスのいずれかに接続するようにsnortを構成し、 'erripを実行できます。

これは簡単で、ハードウェアを追加する必要がなく、IDPモードで実行するように簡単に再構成でき、動作するために潜在的に奇妙なネットワーク構成を必要としません。最大の欠点はパフォーマンスです。 Snortは非常に多くのリソースを消費する可能性があります。システム内のすべてのRAMとCPUを使い果たして、ルーターがルーティングできなくなる可能性があります。

Snortにはさまざまな構成オプションがあります。ルールをオンまたはオフにするだけでなく、特定のホストのルールをホワイトリストに登録し、パケットの最適化に使用されるメモリのバイト数、TCPストリームの再構築などのためにメモリに格納するパケットの数を調整します。私は通常、これらのパラメータを調整するのに非常に長い時間を費やすことをお勧めします。パラメータを取得した後でも、元に戻して定期的にレビューを行い、調整が必要かどうかを確認します。

専用センサーの実行

これは通常、推奨されるソリューションです。これは、リソース競合のネットワーク停止の問題を解決します。特別に細工されたハードウェアを使用できるため、センサーに必要な処理を正確に実行させることができます。これにより、デーモンロガーを実行するためのハードドライブを追加したり、ネットワークの完全な停止のスケジュールに対処することなく、さらにRAMを投入したりすることもできます。また、よりスケーラブルです。自宅でpfSenseを実行しているPentium4ホワイトボックスでsnortを実行することはできますが、職場でJuniperEX-8216で実行する方法はありません。専用センサーは両方の環境で同様に実行されます。

欠点は、管理する別のシステム、電力を消費する別のボックス、避難するBTUの増加などを追加することです。ネットワークインフラストラクチャによっては、データを簡単に取り込むことができる場合とできない場合があります。主要なネットワークベンダーはすべて、これを行うための何かを持っています。 CiscoはそれをSPANセッションと呼び、Juniperはそれをアナライザーと呼び、Enterasysはそれをミラーと呼びます。 [〜#〜] tee [〜#〜] ターゲットを使用してiptablesで同じ機能を実行することは可能ですが、他のホストファイアウォールで実行できるかどうか、または実行する方法はわかりません。やれ。それがすべて失敗すると、データストリームを電気的にコピーする物理デバイスであるネットワークタップを使用できます。

いずれにせよ、あなたがしなければならないことは、ネットワークインフラストラクチャからセンサーへのトラフィックのコピーを取得することです。これを行うための最良の方法と推奨される方法は、センサーに2つのNICを配置することです。1つは管理用、もう1つは監視用です。インターフェイスの価格は大きく異なりますが、リンクが1Gbpsを超える状況、または持続スループットが1Gbpsに近づく状況について話しているのでない限り、カードはかなり安価です。シンプルなIntelPro/1000 GTでもお勧めしますが、30ドルで、必要なことはすべて実行できます。

1つのインターフェースで実行することは可能ですが、お勧めできません。通常は受信のみが期待される(想定される?)リンクでの送信の問題により、監視との奇妙な不整合や潜在的なネットワークの問題が発生する可能性があります。

Information Security Professionals の姉妹サイトの snort tag には、かなりの情報があります。

5
Scott Pack

Snortを実行したら、ルーターで実行しました。これには、トラフィックを送信するための追加のインターフェイスは必要ありません。リスクは、snortがデータを誤って処理して実行すると、そうでない場合よりもネットワークに簡単にアクセスできるようになることです。

1
BillThor