¿Desearía normalmente monitorear todos los puertos para el monitoreo NIDS? Si es así, ¿el puerto span o la red tocan el camino a seguir?

Question

¿Desearía normalmente monitorear todos los puertos para el monitoreo NIDS? Si es así, ¿el puerto span o la red tocan el camino a seguir?

#1 de atdre (2 votos)

1

Estamos configurando el monitoreo NIDS y los jefes quieren monitorear todos los puertos, pero me pregunto si esto realmente tiene sentido.

El conmutador que estamos usando actualmente solo puede reflejar 4 puertos de origen en un puerto de destino, por lo que no tenemos suficientes puertos de repuesto para monitorear todos los puertos utilizados actualmente.

¿Una configuración típica de NIDS implicaría monitorear solo puertos importantes (VM, puerto de Internet) o es común monitorear todos los puertos?

Si la supervisión de todos los puertos es estándar, ¿cuál es la mejor manera de hacerlo? ¿Hay tomas de red de 24 puertos que puedan conectarse a todos los puertos del switch? ¿Hay mejores conmutadores que supervisarán todos los puertos en un solo puerto de tramo?

¿Pensamientos?

network monitoring

pregunta user228546 08.02.2016 - 17:41

fuente

1 respuesta

Lea otras preguntas en las etiquetas network monitoring

Banner agarrando las versiones de OpenSSL con OpenSSL Las exploraciones de red encuentran el dispositivo ausente

score 2 · Answer 1

La duplicación de puertos, aunque es posible incluso en conmutadores económicos como el NETGEAR ProSAFE GS105Ev2 de Unmanaged Plus o el Easy Smart TP-LINK TL-SG108E aún mejor, es una apuesta debido al tiempo y la pérdida. Es muy posible configurar un escenario en el que una duplicación de puertos de ejecución a largo plazo pueda continuar copiando marcos durante meses sin perder marcos. Sin embargo, es probable que desee utilizar una red con una suscripción insuficiente con equipos de alta gama de Juniper Networks o Cisco, con buenos relojes y / o configuración NTP.

Para los toques, puede evitar la sobre suscripción y cambiar los problemas de max-CPU. Si la red conmutada se vuelve problemática, como un evento de árbol de expansión, aún puede capturar todos los marcos relevantes. La duplicación de puertos también puede causar una gran cantidad de desduplicación de paquetes, lo que puede elevar la CPU de los conmutadores a niveles no deseados.

Hay muchos proveedores de grifos con una variedad de diseños y configuraciones diferentes. Le sugiero que lea este artículo, enlace , que menciona a los cuatro jugadores principales en ese espacio. Además, proporciona una gran cantidad de antecedentes sobre cómo construir un tejido de visibilidad, es decir, un lugar donde puede configurar un conjunto de monitores, como detectores de intrusión de red.

Una sugerencia adicional es monitorear y probar el rendimiento de su infraestructura de captura con una herramienta como - enlace