我想/需要开始更好地监控我们的网络。这是一个奇怪的网络,因为它包含 2 /22 个公共 IP 和大量私有管理 IP。我在网络中确实有一个点,所有 IP 都汇集在一起,我可以在催化剂上打开端口镜像。从该端口,我想打开一个运行各种实用程序的盒子。Snort 在我的列表中名列前茅,但使用 Netflow 之类的东西获取一些网络统计数据也不错。
那么,大家的想法是什么呢?我可以轻松找到一个需要的盒子。我们有可用的硬件。我应该运行什么?我很想知道可能发生了什么样的恶劣事件,但我还想看看人们在网络上做什么的统计数据,这样我就可以更好地调整我们的系统以更好地处理它并提高性能。
我很开放,所以请给我一些与我的想法相符的想法。
答案1
那是进行嗅探的最佳地点。如果你愿意花时间调整 snort 以使其有用(它不是开箱即用的,太吵了),它既有教育意义又有用!一举两得。
我对细节不太清楚,但我们正在从思科设备中提取网络流量数据,并将它们聚合到一个特定的盒子上进行分析。它不是我们运行 IPS 的同一个盒子,但从网络角度来看,它非常接近。流量数据也非常有用,不仅仅是为了找到上传/下载 .iso 文件的人。
答案2
你可能还想看看这个:http://www.linux-magazine.com/Issues/2009/109/Security-Lessons/%28kategorie%29/0,捕获并存储网络流量,然后您可以随意重放和分析它。假设您的网络链接不是太大,您可以轻松缓冲一两天的流量,并在发现攻击时进行检查。
但是从 Snort 开始并进行调整直到噪音消失!