Me pregunto si realmente puede tener 2 (o más) puertos promiscuos (de rastreo) en una sola máquina, para monitorear múltiples segmentos de red. ¿Y puedes monitorearlos todos con snort?
Absolutamente. Específicamente, el modo "promiscuo" es solo un indicador en la pila de red que pasa todos los paquetes vistos en esa interfaz hasta la capa de aplicación. Usando el snort como ejemplo, a menudo es así como uno monitoreará adecuadamente los sistemas multi-homed. Un NIC monitorea cada enlace ascendente.
Usando snort como su IDS, tenga cuidado con la forma en que maneja las especificaciones de la interfaz. La opción de interfaz solo aceptará un único argumento, ya sea una interfaz específica o any
. El problema con any
es que causará que el proceso escuche en todas las interfaces, incluido el loopback. Además, snort es un solo hilo (se espera que cambie con la versión 3.0). Recomiendo encarecidamente ejecutar varias instancias de snortd, cada una de ellas en una única interfaz. Cómo se logre esto dependerá de su distribución. En los sistemas basados en RedHat, edite el archivo /etc/sysconfig/snort
y complete la variable INTERFACE
. Por ejemplo, si usa eth1 y eth2 para el monitoreo, usaría
INTERFACE="eth2 eth3"
El script de inicio iniciará automáticamente un proceso separado para cada interfaz enumerada.