Вопрос: Настройка домашней сети для мониторинга трафика через Snort


У меня приличный фон в Linux, однако я серьезно неправильно понимаю сетевые основы. Я пытаюсь настроить домашнюю среду, в которой поле Virtual Box RedHat контролирует весь трафик в моей сети через Snort.

Слева вы можете увидеть мою текущую настройку, однако мне было интересно, как я мог бы достичь настройки справа? То есть, как я могу настроить его так, чтобы весь трафик проходил через мою RedHat OS w / Snort? RedHat OS настроена на получение своего IP-адреса с маршрутизатора (192.168.1.200), как установлено в настройках DHCP маршрутизатора.

Спасибо за помощь!

Home Network Setup


2
2017-11-19 00:12


Источник


В идеале вы будете контролировать свою сеть с помощью сетевого подключения, у которого нет IP-адреса. Он будет идти между вашим маршрутизатором и модемом, более похожим на это: clayshek.files.wordpress.com/2008/04/snort_diagram1.jpg - Neil McGuigan
Это вопрос о настройке сети, а не вопрос безопасности. - schroeder
@ Нейл-Макгиган, Snort может быть больше, чем NIDS; он также может быть IPS. Возможно, он хочет использовать Snort, чтобы активно нарушать обнаруженный вредоносный трафик. Кран не позволит Snort вмешаться, чтобы предотвратить проникновение пакетов злоумышленника. И только для чтения (например, HakShop Throwing Star) даже не позволит Snort отправлять RST-пакеты. - John Deters


Ответы:


вы можете подключить все свои устройства к коммутатору и подключить красный сигнал между вашим коммутатором и маршрутизатором. Для вашего iphone в wifi убедитесь, что ваш AP - та же сторона redhax, а не на вашем маршрутизаторе.

enter image description here

Или, если возможно, с вашим маршрутизатором, вы можете зеркалировать трафик интерфейса между маршрутизатором и модемом на интерфейсе вашего RedHax-Snort


4
2017-11-19 09:01



Могу ли я спросить, какой софт вы использовали для создания этой сетевой диаграммы? - Froggiz
@Froggiz Я использую Microsoft Visio для своих диаграмм - Sorcha


Вы можете получить новый коммутатор, как указано в @Sorcha, или вы также можете сделать магию маршрутизации, чтобы фактически создать желаемую среду (по крайней мере на сетевом уровне), используя только текущую настройку.

  • Сделайте IP-адрес вашей машины Snort Static и установите шлюз по умолчанию как внутренний IP-адрес вашего маршрутизатора.

  • Включить переадресацию IP-адресов в машине snort (вам это потребуется независимо)

  • Измените Шлюз по умолчанию во всех других устройствах на этот новый статический IP-адрес этого устройства Snort.

вышесказанное сделает ваше устройство snort как маршрутизатор, и трафик со всех других устройств будет отправлен через это устройство snort.


2
2017-11-19 15:02



он также может иметь дело с DHCP. Большинство домашних маршрутизаторов обслуживают клиентов DHCP сами по себе как шлюз по умолчанию. Если он может перенастроить маршрутизатор, чтобы обеспечить IP-адрес устройства Snort в качестве шлюза по умолчанию, а затем заставить его устройства обновлять свои договоры аренды, все новое, что он добавляет, должно «просто работать». - John Deters
вы правы @ Джон Детерс, у него есть возможность также использовать статические IP-адреса на всех устройствах, чтобы устранить необходимость DHCP, но в этот момент все это становится скорее кратковременным взломом, чем удобная управляемая настройка. Тем не менее, этот вариант есть, если он достаточно любопытен, чтобы попробовать. надеюсь, он не увлекается фырканье. - JOW