Мониторинг сетевого трафика через коммутатор
Я хотел бы поэкспериментировать с мониторингом трафика моей домашней сети и подумать, сработает ли конкретное решение, которое я имею в виду. У меня довольно стандартная настройка: Verizon FIOS входит в мой дом и проходит через маршрутизатор, предоставленный Verizon, который, в свою очередь, маршрутизирует трафик для нескольких устройств (домашний компьютер, телефоны и т. Д.).
Мне интересно, могу ли я поставить переключатель "спереди" (или, что более предпочтительно, "в сторону"), чтобы затем подключить выделенный компьютер (например, Pi или старый ноутбук), который, в свою очередь, запускает snort или любой другой IDS Я хочу. Однако я настороженно отношусь к настройке шлюзовой машины (например, Pi в качестве шлюзовой машины), потому что я хочу, чтобы самое простое решение было отменено при необходимости, и я хочу подвергнуться наименьшему риску (т. Е. Плохой конфигурации).
По сути, я думаю, что коммутатор позволит мне легко перехватывать входящий / исходящий трафик, не вынуждая меня поставить этот IDS в линию.
Есть ли в этом смысл, и если да, то какие-то конкретные рекомендации по коммутатору / концентратору?
2 ответа
Не совсем вопрос для этого сайта, так как этот сайт предназначен для Профессионального Сисадмина, чтобы связаться с другим Профессиональным Сисадмином.
Но я подумал, что дам вам этот кусок данных:
- Если вы используете старый добрый хаб, все порты будут автоматически получать весь трафик.
- Если у вас нет старого доброго концентратора, вам понадобится коммутатор, который выполняет зеркалирование портов, а затем вы говорите ему о необходимости зеркалирования пакетов всех других портов в порт, к которому подключен ваш pi или ноутбук или что-то еще.
Затем вы запускаете любую программу - snort, wireshark, xplico, tcpdump и т. Д., Чтобы записывать трафик и анализировать его.
Краткий ответ: да, вы можете.
Более длинный ответ: Вы можете, но вам нужен коммутатор, который поддерживает мониторинг портов. Коммутатор должен быть вставлен между вашей локальной сетью и модемом / маршрутизатором FIOS и настроен соответствующим образом.
Или же вы можете купить специальное оборудование "network tap] ( http://en.m.wikipedia.org/wiki/Network_tap)", которое было бы проще в настройке. Разверните его аналогично.