【TechTarget中国原创】你已经决定要配置Snort,这种网络入侵检测系统(IDS),而且已经理解了它基本上是一个嗅探器。如何监控不同的网段,特别是当使用网络交换机或者VLAN(虚拟局域网)时?答案当然是“看情况而定”。
在确定了预定、选好了IDS产品后——例如Snort——你需要确定你需要多少传感器,可以负担多少。在决定需要多少传感器前,必须理解Snort,或者其它的IDS只能监控他们看到的。在核心路由器和网络中的旧时代,这项任务相对简单_你可以购买你能负担得起的尽可能多的入侵检测系统,并根据风险等级和重要性在每个网段都配置一个IDS。
网络交换机,不像其它的网络中心,并不向网段上的每个端口发送所有的流量。基本上有三种方法。第一个是回头时在战略中心使用网络中心,有时不太赞成,因为它可以减少带宽,并增加中等重要程度的服务网络(又叫做DMZ),它可能有意义,与inweita不贵、非常简单而且有用。
尽管使用网络交换机,查看所有流量的第二个方法是使用具有port spanning或者port mirroring功能的智能或者管理交换机,不需要说,这些网络交换机的成本很高,但是他们已经在所有最基本和有意耗费成本的环境中使用了。参考厂商的文件或者Web资料,找到如何在摸个硬件上创建mirror ports或者span ports的详细指南。这里有启发作用的两个思科的指南:
- Cisco Catalyst 4000 Series Switches
- Cisco Catalyst 6500 Series Switches
每个VLAN都需要一个span port。每个交换机都限制了很少的span port(有几个原因,其中之一是带宽),所以当设计覆盖范围的时候要考虑这一点。有时,交换机厂商的入侵检测系统可以客服这些限制(例如Cisco安全入侵检测系统刀片),其他需要记住的是span port通常是只读的,他们通常不参与生成树(spanning tree)。(应该和厂商确认。)
检测(tap)流量的最后一个方法是使用网络监测分路设备(tap)。 有几家公司生产CAT-5和光纤的电缆tap(又叫做网络tap)。Tap的价格在几百美元或者更高。他们很容易安装,但是让他们和IDS传感器一起工作很难。发送和接收通常被分在两个电缆中,所以传感器需要两个网卡。
不能理解嗅探和交换机和网段如何工作是第一次安装IDS遇到的最常见的问题之一。如果你的IDS查看不到网络流量,或者只有广播或者流出/流向自己的单向流量,几乎可以确定存在交换/生成端口问题。根据IDS传感器的情况,通常可以从设备上运行tcpdump或者windump,校验流量。如果IDS传感器上的应用或者其他不能这么做,在连接了相同的交换端口的笔记本上使用上面的工具、Ethereal或者另外的嗅探器作为IDS。