Tengo un sensor de snort que supervisa parte de mi red que se alimenta desde un puerto duplicado. Esta sesión duplicada solo supervisa el tráfico entre el firewall y el interruptor de interconexión. Como esto solo ve que el tráfico ingresa / sale de nuestra red, perdemos mucho tráfico enrutado internamente. ¿Qué lugares útiles en el interior de nuestra red debería buscar para colocar más sensores de resoplido?
La ubicación del sensor puede ser muy complicada, ya que hay muchas variables que considerar. Como mínimo, debes tener en cuenta
Lanzar todos esos en una licuadora y encenderlos en alto durante unos minutos le dará algunos datos interesantes para comenzar a determinar su implementación. La planificación de la implementación es un proceso multifase y, si bien no están intrínsecamente separados, es beneficioso recordar que son partes diferentes del mismo plan.
Lo más probable es que lo que querrá hacer es construir una lista de todos los sistemas que desea monitorear, luego calificarlos según la importancia o el riesgo. Eso debería darle una prioridad de qué sistemas realmente necesita estar viendo ahora. En un mundo perfecto, tendríamos un sensor que controla el enlace conectado a todos y cada uno de los sistemas. Sin embargo, sería aterrador costoso, difícil de mantener y ruidoso. En su lugar, hable con su equipo de red y observe detenidamente el diseño de su red. Calcule en el mapa de la red donde viven sus sistemas priorizados y descubra dónde están los puntos de choque. Mira qué hardware tienes disponible para convertir en sensores. En un entorno increíble, podría tener una caja grande con algunas interfaces de 10 Gbps y hacer todo su monitoreo para toda una empresa usando un solo sensor. Sin embargo, lo más probable es que tengas algunos sistemas excedentes que solían usar los secretarios de departamento y necesitarán repartir la carga.
Ahora es el momento de pensar detenidamente qué es el umbral de aceptación del riesgo. ¿Qué tan cerca de los datos confidenciales siente que necesita para tener un sensor, y a qué distancia se siente cómodo al colocarlo? En algunos casos, es posible que realmente necesite monitorear el puerto del switch al que un servidor está conectado directamente. En otros casos, basta con colocar un solo sensor en un edificio o piso de enlace ascendente e ignorar cualquier tráfico dentro del conmutador. En otro caso, puede sentir que la duplicación de un puerto específico no es lo suficientemente buena, y en cambio duplicar una VLAN completa.
Mientras construye nuestra estrategia de despliegue de su sensor, tenga en cuenta que puede ser muy complicado. Cuando decida dónde colocar sus sensores, asegúrese de tener en cuenta todos los demás problemas que surjan. Por cada sensor que implemente, habrá una sobrecarga de administración para un empleado que realmente mantenga el sistema (aplicar parches, reemplazo de hardware, etc.), una sobrecarga de administración de la aplicación (actualizar firmas, ajustar reglas, asegurarse de que snortd siga funcionando) y tiempo de analista (interpretación) Las alertas y la toma de acción). Dependiendo de su diseño y de cuánto tiempo esté dispuesto a cargar, estos números pueden variar enormemente. Por ejemplo, al usar las herramientas de administración / automatización de configuración correctas, no es tan difícil administrar varias docenas de sensores de snort usando una fracción de un FTE.
Si tiene equipo de red de Cisco, puede usar Catalyst Switched Port Analyzer (SPAN) para reflejar el tráfico de un puerto a otro en el que tiene su sensor de snort.
Se trata de un ejemplo de configuración de Cisco SPAN en enlace .
Otros equipos de red tienen capacidades similares.
Usamos esto para reflejar todo el tráfico saliente y entrante en nuestra red sin insertar un dispositivo en el flujo.
Lea otras preguntas en las etiquetas network ids monitoring snort