【TechTarget中国原创】在决定了Snort IDS传感器使用的操作系统后,就需要配置网络。理想状态是最少有两个网络适配器(network interface cards,NICs)。其中一个是用于嗅探,而且应该没有编号——也就是没有分派IP地址。另一个应该和通常的一样使用IP地址,并仅用于管理。还有,你可以拥有很多的网络接入——编号的和没有编号的——只要硬件和操作系统可以支持。
管理借口应该在受信的网络上,通常是LAN或者专注管理的VLAN或者网络。可以和平常配置操作系统和环境一样配置。
对于没有编号的借口,在不受信任或者监控的网段上没有IP地址可以增加一层安全。因为没有可以做为目标的IP地址,这些网段就不容易被攻击,但并不是特别安全。从定义上看,Snort查看流量。所以,Snort或者网络数据捕获库中的漏洞可能被用于攻击,以前曾发生过。记住,传感器是安全设备,配置、加固和维护的时候应该记住这些。
Windows、Unix和Linux都支持没编号的接口。例如,要在Red Hat或者派生的Linux分布上把eth1作为没编号得接口,就可以使用你最喜欢的文字编辑器来创建或者编辑/etc/sysconfig/network-scripts/ifcfg-eth1,使之看起来像
DEVICE=eth1
ONBOOT=yes
在Windows下运行没有编号的接口很容易,但是实直觉的计算。例如,在Windows 2000下,右击“My Network Places”并选择属性。右击恰当的链接,例如,“Local Area Connection 2”,然后再选择属性。通过检查网络适配器的名称和/或属性(例如,MAC地址)验证你正在运行的是正确的物理界面,然后不选任何组件,特别是“Client for Microsoft Networks”和 “Internet Protocol {TCP/IP}”。你可能觉着这样做是关闭适配器,但是并不是。在ipconfig /all下,显示不出来,但是如果使用snort –W命令就可以。运行snort –W,并注意接口的号码,你可能会用它嗅探,然后测试Snort是不是用snort –vi 2等命令工作的。如果以后Snort突然停止运行,再次检查snort –W,因为当改变网络时,Windows有时会改变接口编号。
在任何情况下,都要确认在配置没有编号的网络接口后,数据可以恰当地发送。你不想要把管理接口插入到不受信任的网络,反之亦然。