您通常希望监视NIDS监视的所有端口吗？如果是这样的话，span端口或网络是否是要走的路？

Question

我们正在设置NIDS监控，老板希望监视所有的端口，但我想知道这是否真的有意义。

我们目前使用的交换机只能将4个源端口镜像到一个目标端口，因此我们没有足够的备用端口来监视所有当前使用的端口。

典型的NIDS设置是只监视重要端口(VM、internet端口)，还是监视所有端口是常见的？

如果监控所有端口都是标准的，那么最好的方法是什么呢？是否有24端口网络龙头可以连接到所有的交换机端口？是否有更好的交换机可以监视单个跨端口上的所有端口？

有什么想法？

Answer 1

端口镜像，即使在诸如非托管+ NETGEAR ProSAFE GS105Ev2或更简单的智能TP链接TL-SG108E等廉价交换机上也是可能的，但由于时间和损失，这也是一场赌博。很有可能配置一个长期运行的端口镜像可以连续几个月复制帧而不会丢失帧的场景。不过，您可能希望使用具有高端Juniper网络或思科设备的订阅不足的网络，具有良好的时钟和/或NTP配置。

对于taps，您可以避免过度订阅和切换最大CPU问题.如果交换网络出现问题，如生成树事件，则仍然可以捕获所有相关帧。端口镜像还会导致大量的数据包去复制，这可能会将交换机的CPU提高到不需要的级别。

有许多不同布局和配置的水龙头供应商。我建议您阅读这篇文章-- http://packetpushers.net/practical-visibility-fabric-part-1/ --它提到了该领域的四个主要参与者，并给出了关于如何构建可见性结构的大量背景信息，即您可以配置一组监视器(如网络入侵检测器)的地方。

另一个建议是使用诸如-- https://github.com/adulau/netbeacon之类的工具来监视和测试捕获基础结构的性能。