我想/需要开始更好地监视我们的networking。 它是一个奇怪的networking,它包括2/22个公共IP地址和一大堆私人pipe理IP地址。 我在networking中确实有一点,我可以在催化剂上打开端口镜像。 从那个港口,我想打开一个箱子运行各种公用事业。 Snort在我的名单上很高,但也可以用Netflow来获得一些networking统计数据。
那么,什么是peoeple的想法。 我可以打开一个需要这个有点容易的盒子。 我们有可用的硬件。 我应该运行什么? 我很想知道可能会发生什么样的恶劣事件,但是我也希望看到人们在networking上做什么的统计数据,所以我可以更好地调整我们的系统以更好地处理它,并提高性能。
我打开了,所以请给我一些想法,以配合我所得到的。
这是做一些嗅探的最佳地点。 如果你愿意投入时间来调整snort,所以它是有用的(它不是开箱即用,waaay太吵),它可以是教育和有用的! 双赢。
我对细节模糊不清,但是我们将净stream量数据从我们的思科设备中提取出来,然后将它们汇总在一个特定的盒子上进行分析。 与我们运行IPS不同的是,它非常接近networking。 stream数据也是非常有用的,而不仅仅是为了找人或下载.iso文件。
你也可以看看这个: http : //www.linux-magazine.com/Issues/2009/109/Security-Lessons/%28kategorie%29/0 ,捕捉和存储networkingstream量,然后你可以重播并在您的休闲解剖。 假设你的networking连接不够大,你可以很容易地缓冲一两天的stream量,并且在发现攻击的时候可以检查一下。
但是从Snort开始并调整它,直到噪声消失为止!