正在研究如何设置 IDS/IPS 系统来捕获网络上的所有流量,但不太确定如何进行。首先,使用 wifi 卡捕获数据包与仅设置端口镜像有什么区别。这就是我想要做的,我想设置一个设备来捕获通过我网络的所有流量。但是,我希望这个设备尽可能安全。它只用于捕获流量。我知道端口镜像基本上会复制所有流量并将其发送到 IPS/IDS 设备。这是否意味着它会很安全,因为流量不是往返于设备,而是只是?假设我决定通过端口镜像来执行此操作。这种类型的交换机通常具有可以通过互联网连接的 GUI 界面。有没有办法锁定它,以便无法通过互联网访问它,或者我猜尽可能多,因为它是连接。谢谢
答案1
在连接到交换机(或通过 wifi)的计算机上进行的数据包捕获只能看到广播的数据包(即像 DHCP 这样的请求,当计算机首次连接到网络并请求地址时,它会向所有可用的计算机广播以查看是否可以找到 DHCP 服务器来为其分配 IP 地址)和单向流量,或者在计算机尝试与网络上的其他计算机通信时特定于计算机之间的流量。现在假设您的网络上有另外两台未捕获数据包的计算机,一台是文件服务器,一台是 Windows 主机。如果您只是在第三个工作站上捕获数据包,您将永远看不到这两台主机之间发生的任何通信。您用来捕获数据包的机器不会看到此流量,因为对话发生在两个彼此进行单播对话的特定主机之间。
现在让我们考虑同样的情况,在托管交换机上配置了端口镜像的 IDS,将交换机上所有端口上的所有流量转发(或镜像)到一个特定的交换机端口。由于数据是镜像的,交换机上发生的所有对话(单播、多播、广播)都将对您的 IDS 解决方案可见。然后,IDS 将对您的网络流量进行某种分析,以确定您的网络上是否发生了任何可疑的事情(与各种类型的攻击或漏洞的数据包捕获相比)。
为了设置端口镜像,您需要一个托管交换机(这意味着您可以配置交换机运行的各个方面)。它们的价格通常比普通的哑交换机(哑 = 无法配置)贵一点。我知道就 Cisco 网络交换机而言,端口镜像通常称为 SPAN 或 RSPAN。您需要登录到交换机的 CLI 或 Web 控制台,然后配置您希望端口镜像会话查看的端口和 VLAN(您可以指定要监控的端口、端口通道、VLAN 等的范围),然后告诉交换机流量将被镜像到哪个交换机端口。然后,您将从该端口连接到您的 IDS 的以太网电缆。
至于您担心网络交换机会被其他人访问,只要您在网络的 LAN 端执行所有这些操作,并在您和外界之间设置防火墙,那么在这方面应该没有问题。显然,如果有人心怀不轨地进入您设置的 LAN 端,情况可能会很快恶化,但这适用于任何对您网络的入侵。除非您有向外界开放特定端口的特定需求,否则我建议不要进行任何配置以允许通过常见端口(如 SSH(22/tcp)、RDP(3389/tcp)HTTP(80/tcp))从您的网络(互联网)外部到 LAN 端的流量。这样做似乎是一个好主意,这样您就可以从任何地方访问一些关键基础设施,但是,任何常用于任何类型的远程访问的协议都是人们在扫描您的外部 IP 时要寻找的协议。
如果您可以详细说明您正在考虑使用什么 IDS 解决方案,或者您正在考虑使用什么类型的网络交换机,我可以提供一些具体示例来说明如何完成您正在尝试做的事情。
希望这能回答你的问题。