Säker Snort?
Jon Otterholm
jon.otterholm at ide.resurscentrum.se
Wed May 20 12:19:09 CEST 2009
Hej.
Anders Troback wrote:
> Hej!
>
> Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan på
> en brandvägg! Det som jag vill använda är Snort och skicka resultaten
> till Prelude-IDS som är inne på mitt LAN!
>
> Det som bekymrar mig är hur Snort ska komma åt insidan utan att behöva
> gå runt brandväggen. Snort skickar data, den hämtas inte av
> prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD burk
> (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan ett som
> kort som prelude pratar med och sitter i LAN (eller kanske DMZ). Om man
> nu gör så så har jag ju byggt en väg runt min brandvägg! Skulle även
> vara bra om FBSD bara kunde lyssna utan att synas och inte ha en IP (ont
> om IP nr)?
>
> Hur hade ni gjort?
>
När jag satte upp det så gjorde jag en portspegling i en switch så att
all trafik till/från routerns interface speglades till en annan port i
switchen som sedan snort-burken lyssnar på. Fungerade bra och man
slipper ha routerns/firewallens interface i "promisc" vilket kan ta lite
på prestandan.
//Jon
More information about the BUS
mailing list