Säker Snort?

[Janne Johansson]

Anders Troback wrote:
> Hej!
> 
> Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan på
> en brandvägg! Det som jag vill använda är Snort och skicka resultaten
> till Prelude-IDS som är inne på mitt LAN!
> 
> Det som bekymrar mig är hur Snort ska komma åt insidan utan att behöva
> gå runt brandväggen. Snort skickar data, den hämtas inte av
> prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD burk
> (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan ett som
> kort som prelude pratar med och sitter i LAN (eller kanske DMZ). Om man
> nu gör så så har jag ju byggt en väg runt min brandvägg! Skulle även
> vara bra om FBSD bara kunde lyssna utan att synas och inte ha en IP (ont
> om IP nr)?

En liknande moj gjorde surfnet för att sätta ut honeypots, kanske kan ta 
lite ideer från dem?

http://ids.surfnet.nl/wiki/doku.php?id=global:global

De kör sin(a) honeypots centralt, men sätter ut en dator (som bootar på 
usbsticka osv) som först dhcp:ar en IP, med den bygger layer2-tunnel in 
till honeypot-datorn som i sin tur "blir" en ip till över L2-tunneln.

På det viset kan man låta ful-trafik komma in till en väl vald plats på 
insidan där man har kapacitet att hantera det, utan att för den skull 
göra för elaka hål i sin fw, alt. kräva att burken på utsidan är 
extra-grymt-kapabel.

Det är en variant iaf.