超级会员免费看
Snort配置与附加组件使用指南
1. 网络入侵检测系统(NIDS)的放置
在实施像Snort这样的网络入侵检测系统(NIDS)时,其有效性的最大影响因素是它在网络中的放置位置。NIDS的价值在于识别恶意流量,如果它无法看到流量,就无法发挥作用。因此,应将NIDS放置在能最大程度获取数据的位置。
在小型网络环境中,可能只有一个交换机或集线器,此时放置决策相对简单。根据目标不同,可将其仅与互联网连接串联,这样就只需检查进出互联网的流量。而在大型网络中,需要在NIDS中安装多个网卡,以便它能检查网络中多个关键点的流量。
需要注意的是,IDS和其他系统一样,也是黑客的攻击目标,甚至更容易成为目标。因此,IDS主机系统应尽可能进行加固和锁定。此外,如果选择安装多个网卡来监控多个网段,可能会创建一条绕过防火墙的替代数据路径。为防止这种情况发生,必须确保Snort主机未启用路由功能,避免其将监控的一个网段的流量转发到另一个网段。
保护措施有多种,最简单的方法是使用网络分接头(tap),而不是直接插入普通网卡。网络分接头是一种专门设计的硬件,它只监听流量,不进行传输,不存在被黑客篡改配置或因配置错误而意外允许路由的可能性,但网络分接头并非免费。另一种免费的方法是禁用路由、确保主机没有静态路由并禁用任何路由协议。
在放置IDS时,还需了解交换机和集线器的区别。集线器会将接收到的任何端口的流量发送到其他所有端口,使用集线器时,IDS能看到通过该集线器的所有流量,这通常是我们希望的。而交换机比集线器更高级,大多数新设备都是交换机。交换机通过监听和学习连接到各个端口的机器信息,构建转发表,之后只会将目标主机的流量发送到特定端口。因此,若不进行额外配置,将IDS插
订阅专栏 解锁全文
扫一扫
7
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
