Vorresti in genere monitorare tutte le porte per il monitoraggio NIDS? Se è così, è la porta o la rete toccare la strada da percorrere?

1

Stiamo impostando il monitoraggio NIDS e i boss vogliono monitorare tutte le porte, ma mi chiedo se questo abbia davvero senso.

Lo switch attualmente in uso può solo convertire 4 porte di origine in una porta di destinazione, quindi non abbiamo abbastanza porte di ricambio per monitorare tutte le porte attualmente utilizzate.

Un tipico setup NIDS richiede il monitoraggio solo di porte importanti (VM, porta Internet) o è comune monitorare tutte le porte?

Se il monitoraggio di tutte le porte è standard, qual è il modo migliore per farlo? Sono disponibili prese di rete a 24 porte che possono essere collegate a tutte le porte dello switch? Ci sono switch migliori che controlleranno tutte le porte su una singola porta span?

Pensieri?

    
posta user228546 08.02.2016 - 17:41
fonte

1 risposta

2

Il mirroring delle porte, anche se possibile anche su switch economici come NETGEAR ProSAFE GS105Ev2 Unmanaged Plus o il TP-LINK TL-SG108E Easy Smart ancora migliore, è una scommessa dovuta a tempistiche e perdite. È molto possibile configurare uno scenario in cui un mirror di porte a lungo termine può continuare a copiare frame per mesi senza perdere frame. Probabilmente vorrai utilizzare una rete sottoscorta con Juniper Networks o Cisco di fascia alta, tuttavia, con buoni orologi e / o configurazione NTP.

Per i tocchi, puoi evitare la sottoscrizione in eccesso e cambiare i problemi con la CPU massima. Se la rete commutata diventa problematica come un evento spanning-tree, puoi comunque catturare tutti i frame pertinenti. Il mirroring delle porte può anche causare un sacco di deduplicazione dei pacchetti che può portare la CPU degli switch a livelli indesiderati.

Ci sono molti produttori di rubinetti con una varietà di layout e configurazioni differenti. Ti suggerisco di leggere questo articolo - link - che menziona i quattro attori principali in quello spazio oltre a fornire molte informazioni su come realizzare un fabric di visibilità, ovvero un luogo in cui è possibile configurare un set di monitor come i rilevatori di intrusione di rete.

Un ulteriore suggerimento è quello di monitorare e testare le prestazioni della tua infrastruttura di acquisizione con uno strumento come - link

    
risposta data 08.02.2016 - 19:09
fonte

Leggi altre domande sui tag