9
SNORT ohne Spanning oder Monitor Port
Hi,
um mit SNORT jedweden Traffic der durch ein Internet Gateway wandert zu analysieren muesste man
wohl den traffic sagen wir eines cable modems direkt nach dem modem abfangen z.b. mittels eines hubs.
eine physikalische verbindung wuerde dann wohl an die erste NIC des SNORT Servers gehen, die 2. NIC wuerde
die verbindung zu einem switch oder was auch immer dahinter herstellen.
aber das muss doch auch ohne eine hub gehen, gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
wir haben eine aussenstelle die IT technisch nicht sehr gut angebunden ist ( Fritzbox, business line von unitymedia ) und auch dort moechten
wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?
sind fuer jeden tipp dankbar.
um mit SNORT jedweden Traffic der durch ein Internet Gateway wandert zu analysieren muesste man
wohl den traffic sagen wir eines cable modems direkt nach dem modem abfangen z.b. mittels eines hubs.
eine physikalische verbindung wuerde dann wohl an die erste NIC des SNORT Servers gehen, die 2. NIC wuerde
die verbindung zu einem switch oder was auch immer dahinter herstellen.
aber das muss doch auch ohne eine hub gehen, gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
wir haben eine aussenstelle die IT technisch nicht sehr gut angebunden ist ( Fritzbox, business line von unitymedia ) und auch dort moechten
wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?
sind fuer jeden tipp dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 219574
Url: https://administrator.de/contentid/219574
Printed on: April 23, 2024 at 09:04 o'clock
9 Comments
Latest comment
Hallo,
Ja. Nennt sich TAP und sind nicht eben Preiswert bei GBit/s und höher.
Gruß,
Peter
Ja. Nennt sich TAP und sind nicht eben Preiswert bei GBit/s und höher.
gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
Nennt sich HUB (aber nur max. 100 MBit/s)( Fritzbox, business line von unitymedia )
Ach so, nur ne Frittenschmiede.wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?
Nutze die Fritzbox eigene Funktion. http://fritz.box/html/capture.htmlGruß,
Peter
Netgear GS105E
Läßt sich als Switch oder Tap oder Mirroring Device einsetzen.
Es gibt auch die Achtport-Version davon.
Aber die Überschrift passt nicht.
Nach der Überschrift hieße meine Antwort HUB, wobei es 100er-Hubs kaum mehr gibt und wenn uralt und zu überhöhten Preisen. Zudem ist ein Hub für ein Kabelmodem zu langsam.
Gruß
Netman
Läßt sich als Switch oder Tap oder Mirroring Device einsetzen.
Es gibt auch die Achtport-Version davon.
Aber die Überschrift passt nicht.
Nach der Überschrift hieße meine Antwort HUB, wobei es 100er-Hubs kaum mehr gibt und wenn uralt und zu überhöhten Preisen. Zudem ist ein Hub für ein Kabelmodem zu langsam.
Gruß
Netman
1
erstmal danke fuer deinen super Tip!
Wie würde dann die Konfig aussehen wenn wir den Netgear dazwischen schalten ?
da der switch vlan unterstützt waere doch folgendes denkbar:
Auf dem 8port Netgear 2 vlans erstellen.
vlan0 mit 3 ports -> Auf Port1 kommt Ethernet vom unitymedia CableModem
-> Auf Port2 geht Ethernet in die Fritzbox
-> Auf Port3 Snort Server
vlan1 -> Die restlichen Ports fuer std. Switching.
Wie würde dann die Konfig aussehen wenn wir den Netgear dazwischen schalten ?
da der switch vlan unterstützt waere doch folgendes denkbar:
Auf dem 8port Netgear 2 vlans erstellen.
vlan0 mit 3 ports -> Auf Port1 kommt Ethernet vom unitymedia CableModem
-> Auf Port2 geht Ethernet in die Fritzbox
-> Auf Port3 Snort Server
vlan1 -> Die restlichen Ports fuer std. Switching.
genau so ist es gut.
Port 3 ist dann ein Monitoring Port für Port1, das ist wichtig.
Die Fritzbox wird mit den LAN-Ports vom VLAN1 erweitert.
Billiger kommt man nicht an en Monitoring Device.
Port 3 ist dann ein Monitoring Port für Port1, das ist wichtig.
Die Fritzbox wird mit den LAN-Ports vom VLAN1 erweitert.
Billiger kommt man nicht an en Monitoring Device.
1
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC anschluss
angeschlossen sind, in der konstellation waeren wir dann erstmal gekniffen oder wir muessten den switch dann zwischen fritzbox und internem switch haengen oder sehe ich das falsch ?
angeschlossen sind, in der konstellation waeren wir dann erstmal gekniffen oder wir muessten den switch dann zwischen fritzbox und internem switch haengen oder sehe ich das falsch ?
Das ist egal wo das Device zwischenhängst ! Du hast 2 Optionen:
1.) Zwischen Kabel Modem und Router
2.) Zwischen Routerport und Switchport
Das allereinfachste ist du stattest den Snort mit 2 NICs aus und konfigurierst den als simple Bridge wie es oben beschrieben ist:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Damit ist die Integration dann kinderleicht und erfordert keine zusätzlcihe Frickelei mit Monitor Port oder Hub usw.
1.) Zwischen Kabel Modem und Router
2.) Zwischen Routerport und Switchport
Das allereinfachste ist du stattest den Snort mit 2 NICs aus und konfigurierst den als simple Bridge wie es oben beschrieben ist:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Damit ist die Integration dann kinderleicht und erfordert keine zusätzlcihe Frickelei mit Monitor Port oder Hub usw.
Zitat von @agnostiker:
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC Anschluss ( ist ein besserer F-Stecker) angeschlossen sind, in der Konstellation waeren wir dann erstmal gekniffen oder wir müssten den Switch dann zwischen Fritzbox und internem switch hängen oder sehe ich das falsch ?
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere Konfiguration bietet sich an.habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC Anschluss ( ist ein besserer F-Stecker) angeschlossen sind, in der Konstellation waeren wir dann erstmal gekniffen oder wir müssten den Switch dann zwischen Fritzbox und internem switch hängen oder sehe ich das falsch ?
[...........]
Sorry vieleicht war das "interne Switch" hier falsch ich meinte:
Wenn wir aufgrund des Steckers nicht zwischen Cable Modem und Fritz abzweigen koennen, dann muessen wir wohl zwischen dem physikalischen Kabel welches von der Fritzbox raus zum lokalen Switch ( nicht die fritzbox selbst ) geht lauschen.
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere
Konfiguration bietet sich an.
Konfiguration bietet sich an.
Sorry vieleicht war das "interne Switch" hier falsch ich meinte:
Wenn wir aufgrund des Steckers nicht zwischen Cable Modem und Fritz abzweigen koennen, dann muessen wir wohl zwischen dem physikalischen Kabel welches von der Fritzbox raus zum lokalen Switch ( nicht die fritzbox selbst ) geht lauschen.
