如何将网络接口上的所有流量镜像到虚拟接口上？

Question

我正在尝试在debian机器上设置snort作为ids，debian机器也是一个路由器。理想情况下，我希望以这样的方式设置snort，这样我就不必购买额外的网络适配器来让它侦听debian机器已经处理的相同流量。话虽如此，从接口镜像流量，然后将镜像流量发送到snort的最佳方式是什么？还是你建议我走另一条路？我在想，一座桥可能会工作，但我不确定这是否会是正确的解决办法，任何帮助都会感谢，谢谢！

Answer 1

在您的情况下，我认为我们可以建立两个设计选项，可能会工作。

1. 直接在路由器上运行snort。
2. 在专用于此目的的单独框上运行snort。

运行在路由器

上的

由于您已经为路由器滚动了自己的Debian实例，所以只需安装或编译用于您的版本/体系结构的包。然后，您可以配置snort，将其附加到内部或外部接口，具体取决于您要监视的接口，然后再将其分割。

这可能很简单，不需要添加任何更多的硬件，可以很容易地重新配置为在IDP模式下运行，并且不需要任何潜在的奇怪的网络配置来工作。最大的缺点将是表现。Snort可以消耗大量的资源。它可能会在一个系统中消耗掉所有的RAM和CPU，使你的路由器无法路由。

Snort有很多配置选项。不只是打开或关闭规则，而是为某些主机设置规则，调整用于数据包碎片整理的内存字节数、存储在内存中的数据包数量以进行TCP流重新组装等等。我通常建议花费大量的时间来调整这些参数，甚至在您设置了希望它们返回并定期检查的方式之后，查看是否需要修改。

运行专用传感器的

这通常是推荐的解决方案。解决了资源竞争中的网络中断问题。它允许你使用精心制作的硬件，这样你就可以让你的传感器做你想做的事情。这也将释放您添加一个额外的硬盘驱动器来运行守护进程记录器，或者添加一些更多的RAM，而不必处理整个网络中断的调度问题。它还具有更大的可伸缩性。当然，我可以让snort在Pentium 4上运行，在家里运行pfSense，但是我不可能让它在Juniper 8216上运行。在这两种环境中，一个专用的传感器都会运行得很好。

缺点是，您正在添加另一个系统来管理，另一个盒消耗电力，更多的BTU撤离，等等。根据您的网络基础设施，它可能是或不容易将数据进入它。主要的网络供应商都有办法做到这一点。思科称其为SPAN会话，Juniper称其为分析器，Enterasys称其为镜像。可以使用三通目标对iptables执行相同的功能，但我不知道其他主机防火墙是否可以或如何执行。所有这些都失败了，您可以使用一个网络抽头，它是一个物理设备，可以以电子方式复制数据流。

在任何情况下，您必须做的是从您的网络基础结构到您的传感器的流量的副本。最好的方法，以及推荐的方法，是在传感器中有两个NIC:一个用于管理，一个用于监视。接口的价格可能大不相同，但除非您谈论的链接超过1 1Gbps，或持续吞吐量接近1 1Gbps的情况下，卡是相当便宜的。我甚至推荐了一个简单的英特尔Pro/1000 GT，事情是30美元，做你需要的一切！

可以在一个接口上运行，但我不能推荐它。您最有可能遇到奇怪的不一致与您的监控，或潜在的网络问题，因为问题的传输，通常是预期的(假设？)只接受。

在我们姐妹的snort标签站点上，信息安全专业人员上有相当多的信息可供使用。

Answer 2

当我运行snort时，我在路由器上运行它。这不需要额外的接口来发送流量。风险在于，如果snort错误地处理和执行数据，它将比其他情况下更容易访问网络。