Настройка домашней сети для мониторинга трафика через Snort

2800

У меня приличный опыт работы в Linux, однако я сильно неправильно понимаю основы работы с сетью. Я пытаюсь настроить домашнюю среду, в которой мой виртуальный ящик RedHat контролирует весь трафик в моей сети через Snort.

Слева вы можете увидеть мою текущую настройку, однако мне было интересно, как именно я могу выполнить настройку справа? То есть, как я могу настроить его так, чтобы весь трафик проходил через мою ОС RedHat с Snort? RedHat OS настроена на получение своего IP-адреса от маршрутизатора (192.168.1.200), как установлено в настройках DHCP маршрутизатора.

Спасибо за помощь!

Настройка домашней сети

2
В идеале вы должны контролировать свою сеть с помощью сетевого крана без IP-адреса. Он будет проходить между вашим маршрутизатором и модемом, примерно так: https://clayshek.files.wordpress.com/2008/04/snort_diagram1.jpg Neil McGuigan 9 лет назад 0
Это больше вопрос настройки сети, чем вопрос безопасности. schroeder 9 лет назад 1
@ Neil-McGuigan, Snort может быть больше, чем NIDS; это также может быть IPS. Он может использовать Snort, чтобы активно нарушать обнаруженный вредоносный трафик. Касание не позволит Snort вмешаться, чтобы предотвратить проникновение пакетов злоумышленника. А нажатие только для чтения (например, HakShop Throwing Star) даже не позволит Snort отправлять RST-пакеты. John Deters 9 лет назад 0

2 ответа на вопрос

4
Sorcha

you could plug all yours devices on a switch and connect your redhax between your switch and your router. For your iphone in wifi be sure your AP is same side of the redhax and not on your router.

enter image description here

Or, if possible with your router, you can mirror the traffic of the interface between the router and the modem on the interface of your redhax-snort

Могу я спросить, какой софт вы использовали для создания этой сетевой диаграммы? Froggiz 9 лет назад 0
@Froggiz Я использую Microsoft Visio для своих диаграмм Sorcha 9 лет назад 1
2
JOW

You can get a new Switch, as pointed out by @Sorcha or you can also do some routing magic to virtually create that desired environment(atleast at the Network layer) using just your current setup.

  • Make the IP address of your snort machine Static and set the default gateway as the internal IP of your router.

  • Enable IP Forwarding in the snort machine(you will need it regardless)

  • Change the Default Gateway in all of your other Devices to this new Static IP address of that Snort device.

the above will make your snort device as a router and the traffic from all the other devices will be sent through that snort device.

возможно, ему также придется иметь дело с DHCP. Большинство домашних маршрутизаторов будут обслуживать клиентов DHCP с собой в качестве шлюза по умолчанию. Если он может перенастроить маршрутизатор для предоставления IP-адреса устройства Snort в качестве шлюза по умолчанию, а затем заставить свои устройства продлевать аренду, все, что он добавляет, должно «просто работать». John Deters 9 лет назад 0
Вы правы @Дон Детерс, у него есть возможность также использовать статические IP-адреса на всех устройствах, чтобы исключить необходимость в DHCP, но в этот момент все становится скорее кратковременным хакерским, чем пригодным для использования управляемым объектом. Тем не менее, этот вариант есть, если он достаточно любопытен, чтобы попробовать. надеюсь, он не зависим от фыркающих вещей. JOW 9 лет назад 0

Похожие вопросы