¿Cómo se debe configurar una red para un servidor IDS?

Navega tus respuestas
1

Si una máquina virtual Linux está implementada con snort instalado, ¿cómo detecta el tráfico que va a todas las demás IP en la red? ¿Es necesario configurar el conmutador de red o vSwitch de cierta manera para que el servidor IDS vea todo el tráfico que pasa a través de la red?

    
pregunta bayman 22.12.2016 - 19:27
fuente

1 respuesta

2

Debe seleccionar su ubicación de IDS según lo que necesite. Si tiene una red muy pequeña con un conmutador, esto puede ser fácil, pero para una red más grande hay algunas opciones:

  • Puerta de enlace: conecte su IDS a su enrutador / firewall perimetral para que pueda monitorear todo lo que entra y sale de su red. Esto requiere una gran cantidad de ajustes, ya que hay muchas cosas automatizadas que intentan obtener acceso.
  • Joyas de la corona: localice su IDS en la subred en la que se encuentran sus activos clave, de esta manera solo verá el tráfico que ha llegado tan lejos, por lo que desconectar los falsos positivos debería ser mucho más sencillo. El inconveniente es que no ves nada más en la red.
  • Agentes: puede proporcionar a los enrutadores y conmutadores, o incluso a los escritorios, un agente que se alimenta en un IDS (a menudo a través de syslog u otro mecanismo común) y puede basarlo en sus requisitos específicos.

Recuerde que el mayor problema con cualquier IDS es mantenerlo sintonizado para rechazar tantos falsos positivos como pueda mientras alerta sobre tráfico sospechoso, y luego hacer que un equipo responda y evalúe esas alertas. La cantidad de tráfico, incluso en una red de tamaño mediano, puede ser increíblemente difícil de analizar a través de ...

    
respondido por el Rory Alsop 22.12.2016 - 19:46
fuente

Lea otras preguntas en las etiquetas

¿La configuración de DNT hace que sea un objetivo para un seguimiento adicional? ¿Cuáles serían los efectos de un conflicto cibernético ruso / estadounidense en los profesionales de seguridad cibernética? [cerrado]