Ho un sensore di snort che monitora parte della mia rete alimentata da una porta con mirroring. Questa sessione con mirroring monitora solo il traffico tra il firewall e lo switch di peering. Dato che questo vede solo il traffico entrare / uscire dalla nostra rete, ci manca molto traffico indirizzato internamente. Quali luoghi utili all'interno della nostra rete dovrei guardare per posizionare più sensori di snort?
Il posizionamento del sensore può essere molto complicato in quanto ci sono un sacco di variabili da considerare. Come minimo, dovresti tener conto
Lanciare tutti quelli in un frullatore e andare in alto per qualche minuto ti darà alcuni dati interessanti per iniziare a determinare la tua distribuzione. La pianificazione della distribuzione è un processo multifase e, sebbene non siano intrinsecamente separati, è utile ricordare che si tratta di parti diverse dello stesso piano.
Più probabile che no, quello che vorrete fare è costruire un elenco di tutti i sistemi che volete monitorare, quindi valutarli in base all'importanza o al rischio. Questo dovrebbe darti una priorità di quali sistemi hai veramente bisogno di guardare ora. In un mondo perfetto, avremmo un sensore che monitora il collegamento collegato a ciascun sistema. Tuttavia, sarebbe spaventoso costoso, difficile da mantenere e rumoroso. Invece, parla con il tuo team di rete e dai un'occhiata al design della tua rete. Scopri la mappa della rete in cui vivono i tuoi sistemi prioritari e scopri dove si trovano i punti di strozzatura. Guarda quale hardware hai a disposizione per trasformarti in sensori. In un ambiente fantastico, potresti avere una grande scatola con poche interfacce da 10 Gbps e fare tutto il tuo monitoraggio per un'intera azienda utilizzando un singolo sensore. Tuttavia, più probabilmente, avrai alcuni sistemi in eccedenza che un tempo venivano utilizzati dalle segreterie dei dipartimenti e dovevano distribuire il carico.
Ora è il momento di riflettere a lungo su quale sia la soglia di accettazione del rischio. Quanto vicino ai dati sensibili ti senti bisogno di avere un sensore, e quanto lontano ti senti a tuo agio nel posizionarlo? In alcuni casi potrebbe essere necessario monitorare la porta dello switch a cui è collegato direttamente un server. In altri casi è sufficiente posizionare un singolo sensore su un uplink di edificio o pavimento e ignorare qualsiasi traffico intra-switch. In un altro caso, potresti pensare che il mirroring di una porta specifica non sia abbastanza buono e rispecchi invece un'intera VLAN.
Mentre sviluppi la nostra strategia di implementazione dei sensori, tieni presente che può diventare molto complicato. Quando decidi dove posizionare i tuoi sensori, assicurati di tenere conto di tutti gli altri problemi che si presentano. Per ogni sensore implementato ci sarà un overhead di gestione per un dipendente per mantenere il sistema (applicare patch, sostituzione hardware, ecc), overhead di gestione delle applicazioni (aggiornamento delle firme, set di regole di regolazione, assicurandosi che snortd rimanga in esecuzione) e tempo dell'analista (interpretazione gli avvisi e l'azione). A seconda del progetto e del tempo a disposizione per il caricamento frontale, questi numeri possono variare notevolmente. Ad esempio, utilizzando i giusti strumenti di gestione / automazione della configurazione, non è difficile gestire decine di sensori di snorting utilizzando una frazione di un FTE.
Se si dispone di apparecchiature di rete Cisco, è possibile utilizzare Catalyst Switched Port Analyzer (SPAN) per eseguire il mirroring del traffico da una porta a un'altra su cui è installato il sensore snort.
Il loro è un esempio di configurazione di Cisco SPAN all'indirizzo link .
Altre apparecchiature di rete hanno capacità simili.
Utilizziamo questo per rispecchiare tutto il traffico in uscita e in entrata sulla nostra rete senza inserire un dispositivo nel flusso.
Leggi altre domande sui tag monitoring network ids snort