Для начала вам нужно решить как вы хотите выстроить систему, либо distribution (распределенная) либо standalone (отдельно стоящая). Смысл распределенной системы в том, чтобы разделять работу архитектуры IDS/IPS системы. Отдельно стоящий сервер это более экономичный вариант. Сам собирает, сам обрабатывает трафик, сам хранит трафик. Я не буду рассматривать в этой заметке различные варианты связанные со встроенными решениями cisco и подобное.
Существует пара способов включения в сеть:
1) Forwarding - сквозное подключение как прокси либо фаервол, для этого в сенсор нужно воткнуть две сетевые карты.
2) Span коммутатора - зеркалирует трафик с входного порта на порт в который подключен сенсор, этот способ осуществим только если его поддерживает коммутатор.
У первого способа есть огромный минус, если сервер сломался - блокируется вся линия. У второго способа минус состоит в том, что система не будет работать как IPS, т.е. она не сможет реагировать на плохой трафик, действиями например блокировать.
Я при внедрении использовал второй вариант, включал в гигабитный коммутатор. Скорость сети кстати важна, желательно иметь не меньше гигабита.
Настройка span cisco
Для начала узнайте, поддерживает ли ваш коммутатор функцию span, даже не все коммутаторы cisco его делают. В режиме конфигурирования:
# monitor session N source interface INT1 [both | rx | tx]
# monitor session N destination interface INT2
N - номер создаваемой сессии, это как идентификатор, он должен совпадать с номером сессии назначения. INT1 - порт который нужно зеркалировать, INT2 - порт в который зеркалировать. Далее можно указать направления трафика, оба либо в какую то одну сторону. Так же можно зеркалировать только отдельные вланы. Не забудьте сохраниться)))
Ну и осталось определиться, использовать физическую машину или виртуальную. Я советую использовать физическую. Виртуальную вроде и модно и современно, но, для работы сетевой карты, нужно включать Promiscuous mode, это особый режим сетевой карточки, при котором будут приниматься абсолютно все пакеты, независимо от того кому они предназначались. Без этого режима сетевая плата их отвергает. В виртуальной среде, придется покупать еще один сетевой контроллер специально для этого. А это стоит денег.
Комментариев нет:
Отправить комментарий