Säker Snort?

[Jon Otterholm]

Hej.

Anders Troback wrote:
> Hej!
>
> Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan på
> en brandvägg! Det som jag vill använda är Snort och skicka resultaten
> till Prelude-IDS som är inne på mitt LAN!
>
> Det som bekymrar mig är hur Snort ska komma åt insidan utan att behöva
> gå runt brandväggen. Snort skickar data, den hämtas inte av
> prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD burk
> (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan ett som
> kort som prelude pratar med och sitter i LAN (eller kanske DMZ). Om man
> nu gör så så har jag ju byggt en väg runt min brandvägg! Skulle även
> vara bra om FBSD bara kunde lyssna utan att synas och inte ha en IP (ont
> om IP nr)?
>
> Hur hade ni gjort?
>   
När jag satte upp det så gjorde jag en portspegling i en switch så att 
all trafik till/från routerns interface speglades till en annan port i 
switchen som sedan snort-burken lyssnar på. Fungerade bra och man 
slipper ha routerns/firewallens interface i "promisc" vilket kan ta lite 
på prestandan.

//Jon