Säker Snort?

Anders Troback freebsd at troback.com
Wed May 20 13:21:16 CEST 2009


Den Wed, 20 May 2009 12:19:09 +0200
skrev Jon Otterholm <jon.otterholm at ide.resurscentrum.se>:

> Hej.
> 
> Anders Troback wrote:
> > Hej!
> >
> > Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan
> > på en brandvägg! Det som jag vill använda är Snort och skicka
> > resultaten till Prelude-IDS som är inne på mitt LAN!
> >
> > Det som bekymrar mig är hur Snort ska komma åt insidan utan att
> > behöva gå runt brandväggen. Snort skickar data, den hämtas inte av
> > prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD
> > burk (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan
> > ett som kort som prelude pratar med och sitter i LAN (eller kanske
> > DMZ). Om man nu gör så så har jag ju byggt en väg runt min
> > brandvägg! Skulle även vara bra om FBSD bara kunde lyssna utan att
> > synas och inte ha en IP (ont om IP nr)?
> >
> > Hur hade ni gjort?
> >   
> När jag satte upp det så gjorde jag en portspegling i en switch så
> att all trafik till/från routerns interface speglades till en annan
> port i switchen som sedan snort-burken lyssnar på. Fungerade bra och
> man slipper ha routerns/firewallens interface i "promisc" vilket kan
> ta lite på prestandan.
> 
> //Jon

Hm, nu kommer dagens kanske dummaste fråga men hur lyssnar man utan att
sätta en IP? :-]


-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.



More information about the BUS mailing list