【发布时间】:2020-01-13 05:15:44
【问题描述】:
我经营着一个大约 500 兆位互联网连接的小型企业网络,并想引入 NIPS(网络入侵防御系统)。我已将 SNORT 或 SURICATA 确定为首选软件(也许还有我不太了解的 Zeek)。也许与 PFSense 等有关。待定。
Wifi 在企业中被大量使用,标准的 Windows LAN-cable PC 也是如此。目前我们的基本路由器/调制解调器可以处理所有事情。
当前网络拓扑:
INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc
我想在 Internet 路由器之前插入一个带有 2 或 4 个内核 + 4GB 内存和基本 1gbps 网卡的基本 Linux 机器,用于此 SNORT/SURICATA 机器。
我想确认以下是引入 NIPS 的好方法:
所需的网络拓扑:
INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.
问题:此设置是否允许 SNORT/SURICATA 框(给定默认设置/未启用任何花哨):
- 跟踪 WAN 流量的 LAN 源 IP 地址,包括传出和传入。 IE。 “本地计算机 LAN IP 和远程 IP”之间的 Torrent 连接 - 而不是“路由器 IP 和远程 IP”
- 能够登录到 SNORT/SURICATA 框(没有子网疯狂 - 至少不是超级难解决的问题)
- 这里有什么陷阱吗?
请注意,这适用于拥有 20 名员工而不是 300 人等的小型企业。在这种规模下,遵循所有最佳做法是不切实际的。
我并不热衷于在所说的 Linux 机器上添加 WIFI 网卡。原因是,在危机中,我希望能够拔下 snort 盒子并将两个路由器连接在一起,并立即为办公室提供 Internet,以防盒子因任何原因(糟糕的 snort 规则、硬盘驱动器死机等)出现故障.此外,路由器/调制解调器需要点击才能连接 - 我不需要加载 Putty,如果我不在的话,其他任何人都很难处理。
感谢您的帮助!
【问题讨论】:
标签: networking snort suricata