Come deve essere configurata una rete per un server IDS?

1

Se una macchina Linux Linux è distribuita con snort installato, come rileva il traffico che sta per ogni altro IP sulla rete? Lo switch di rete o il vSwitch devono essere configurati in un determinato modo in modo che il server IDS veda tutto il traffico che passa attraverso la rete?

    
posta bayman 22.12.2016 - 19:27
fonte

1 risposta

2

Devi selezionare la tua posizione IDS in base a ciò che ti serve. Se hai una rete molto piccola con uno switch, allora questo può essere facile, ma per una proprietà di rete più grande ci sono alcune opzioni:

  • Gateway: collegare l'IDS al router / firewall perimetrale in modo da poter monitorare tutto ciò che entra e esce dalla rete. Ciò richiede un'enorme quantità di tuning, dato che ci sono così tante cose automatizzate che cercano di ottenere l'accesso.
  • Crown Jewels: localizza il tuo IDS nella subnet in cui si trovano le risorse chiave, in questo modo vedi solo il traffico che è arrivato fino a questo punto, quindi la regolazione dei falsi positivi dovrebbe essere molto più semplice. Lo svantaggio è che non vedi nient'altro sulla rete.
  • Agenti: puoi dare a router e switch, o persino a un desktop, un agente che si nutre in un IDS (spesso tramite syslog o altri meccanismi comuni) e puoi basarlo su requisiti specifici.

Ricorda che il problema più grande con qualsiasi IDS è tenerlo regolato in modo da rifiutare il maggior numero di falsi positivi possibili durante la segnalazione di traffico sospetto - e quindi fare in modo che un team risponda e valuti tali avvisi. La quantità di traffico anche su una rete di medie dimensioni può essere incredibilmente difficile da setacciare ...

    
risposta data 22.12.2016 - 19:46
fonte

Leggi altre domande sui tag