Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Snort - Wo platzieren

Frage Sicherheit Erkennung und -Abwehr

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

18.10.2013 um 10:56 Uhr, 2079 Aufrufe, 4 Kommentare, 1 Danke

Hi,
im Bild ist das Setup um welches es hier geht zu sehen.


b8281d1b21ec6a6e0f3377cd9f5b03ba - Klicke auf das Bild, um es zu vergrößern

Gehe ich recht in der annahme das wenn ich entweder bei A oder B den Port auf einen Snort spiegel,
ich den gesamten Traffic der VON/ZUM Internet geht/kommt abfangen kann ohne das ein switch
die packete veraendert ? Die eingesetzten Switche sind doof, also nicht managebar, sollten also
imho weder die packete veraendern/header/sonstiges ?

wie sieht das mit packeten aus die z.b von clients generiert/abgefragt werden die am tplink haengen ?
oder wuerdet ihr das anders loesen ?



Mitglied: aqui
18.10.2013, aktualisiert um 11:43 Uhr
Deine Annahme ist korrekt aber wie bitte willst du einen Mirrorport einrichten auf einen unmanaged Switch ?? Das musst du dem Forum mal erklären...!
Die NetGear Billiggurken machen dir dein Konzept zunichte !
Das geht nur mit einem managed Switch minimum mit einem WebSmart Switch. Bei sFlow oder NetFlow fähigen Switches kannst du sogar mit sFlow jeden port überwachen.
Wenn du denn wenigstens einen managed Switch hättest.
Mit der Hardware oben ist dein Vorhaben nicht umsetzbar oder du musst den Snort Host mit 2 bridged NICs in den Link zum Router einschleifen.
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Bitte warten ..
Mitglied: agnostiker
18.10.2013 um 12:01 Uhr
Fehler meinerseits:

der obere switch ist nicht unmanaged, es ist der hier:

http://www.amazon.de/gp/product/B004BM3M6W/ref=oh_details_o00_s00_i00?i ...

ODER ich kann vom lancom direkt einen port definieren.

die naechste Frage:

Würdet Ihr eher den Lancom als zum monitoren konfigurieren ODER das eher auf dem Netgear,
ich frage bezueglich der Bandbreite ich denke der Netgear der sonst nichts zu tun hat wird dafuer eher geeignet sein
als der Lancom der ja on Top mit Nat/Firewall etc eher belastet ist als der Netgear oder ?
Bitte warten ..
Mitglied: MrNetman
18.10.2013 um 16:16 Uhr
auf dem Lancom.
Der Netgear ist nur äußerst begrenzt managebar. Spiegeln kann er aber. Du kannst ja auch den uplink zum Lancom spiegeln.
Aber wenn du etwas veränder musst, dann ist immer wieder der Lancom gefragt. Der Netgear bedarf keiner weiteren Modifikation, wenn alles eingerichtet ist.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
18.10.2013, aktualisiert um 16:28 Uhr
NetGear ist ein Consumer Billigswitch der unteren Kategorie. Die haben meist eine sehr üble und schwache CPU und das Mirroring passiert deshalb oft CPU switched.
Da muss man also vorsichtig sein wie Kollege Netman schon sagt und es probieren und mal die Switch CPU beobachten. Hängt dann vom Mirror Traffic bzw. der Bandbreite deines Internet Anschlusses ab.
Ob der Lancom da besser ist ist fraglich. Dort ist auch ein schwachbrüstiger SoC Chip drin der eigentlich dafür nicht gemacht ist, bzw. der Lancom soll in erster Linie routen und Firewall spielen.
Versuch macht klug.....! Ein dedizierter Rat ist da nicht möglich ohne in Lotterie raten abzugleiten....
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Erkennung und -Abwehr
SNORT Rule ist nach deaktivieren immernoch aktiv (2)

Frage von theoberlin zum Thema Erkennung und -Abwehr ...

Firewall
PfSense: Keine Snort VRT-Updates mehr? (6)

Frage von mrserious73 zum Thema Firewall ...

Firewall
gelöst PfSense: Snort-Logs und rsyslog (4)

Frage von mrserious73 zum Thema Firewall ...

Firewall
Snort FTP Rule (1)

Frage von Reinartz zum Thema Firewall ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...