我期待的是一个充当桥梁的Linux系统。 它简单地将在一个设备上发送的任何数据转发到下一个设备。 它不会尝试阻止传入的攻击或redirect任何stream量。 它所做的是在networking上执行IDSangular色。 任何可疑活动都会被logging并报告。 Snort就是这样一款软件,但是我想知道其他社区有什么解决scheme和想法。
如果你想要的只是执行networking监控,我会推荐一些轻微的重新devise。 将设备内联,比如您所build议的内容,只有在您想要对活动采取行动时才有用。 否则,只会增加networking的复杂性,并增加额外的故障点。 您最好使用镜像端口或networking分路器来被动监控stream量。
根据您的供应商,镜像端口的精确术语将有所不同。 例如,Cisco称之为Span Sessions,Juniper使用术语“分析器端口”,但是在任何情况下,您的networking设备(通常是交换机或路由器)都会将某些stream量的副本发送到另一个端口。 确切的function将取决于硬件,但至less应该能够监控进出特定端口的所有stream量。 通常你会希望这是上行链路,但将取决于你想要监视的内容以及你的networking是如何布局的。 使用镜像端口的最大好处是便宜。 这是几乎所有“企业”级硬件中已经存在的function,只是要求它被打开。 然而,可能有一些缺点。 由于这要求networking设备执行更多的东西,它可以施加额外的负载,所以根据你是多么接近容量,这可能是一个问题。 大多数设备也限制了你可以反映的东西的数量。 大多数思科设备限于两个跨度会话,并且FYI在6500机箱中安装FSWM会消耗一个跨度会话。 有两个限制通常不是一个问题,但由于它是一个相当低的数字,这是一定要记住的东西。
networking水龙头通过成为镜像stream量的专用硬件设备来解决性能和扩展问题。 他们通过坐在一起并将信号分开来工作。 所以,当他们安装在线时,他们显然不可能比电脑更容易受到影响。 铜和纤维两种版本都存在,而且价格可能会比较昂贵(预计价格在500美元到1500美元之间)。 对于某个特定供应商而言,风险是NetOptics(networking水龙头制造商)确实有合理的报价。
从这一点来说,使用像Snort这样的系统是相对无痛的。 无论您使用哪种方法,您都可能会有一条或两条电缆,这些电缆将为您提供所需的所有数据。 然后,你build立你的Snort盒子,放入一个额外的网卡进行监控,并从监控端口插入电缆。 configurationsnort在该接口上收听并观看误报滚动!