insertar analisador de trafico en la red
Rigo
rigo01 en gmail.com
Mar Dic 28 12:59:36 CLST 2004
Estimado,
Como NO quieres poner un hub o swich haciendo port mirror, necesitas
poner snort en modo " in-line" (
http://www.snort.org/dl/contrib/patches/inline/) , en este modo snort
es mas un IPS que un IDS
On Tue, 28 Dec 2004 12:38:45 -0300, Germán Poó Caamaño <gpoo en ubiobio.cl> wrote:
> El mar, 28-12-2004 a las 11:44 -0300, Horst von Brand escribió:
> > =?ISO-8859-1?Q?Germ=E1n_Po=F3_Caama=F1o?= <gpoo en ubiobio.cl> dijo:
> > > El lun, 27-12-2004 a las 21:26 -0300, Horst von Brand escribió:
> > > > Miguel Amador L <jokercl en gmail.com> dijo:
> > > >
> > > > [...]
> > > >
> > > > > No, los NIDS se colocan en dos modalidades Stealth Mode y Mirror
> > > > > Mode...de todas maneras existen Switch que traen una puerta
> > > > > configurada para actuar en mirror modo, enviando a ella todo el
> > > > > trafico que pasa por las otras bocas.
> > > >
> > > > Con lo que transformas el switch en un hub (para efectos practicos).
> > >
> > > No precisamente. La idea no es que todos los puertos del switch queden
> > > en modo espejo, sino simplemente uno (o un conjunto menor), el cual
> > > solo retransmite el trafico de otro puerto, pero no al reves.
> >
> > Si es de/a otros puertos, obviamente estos no pueden usarse simultaneamente
> > == hub.
>
> Me refiero a que solo es trafico de ida. Es decir, en el port X se
> copia todo el trafico de Y; pero no viceversa. El equipo detras
> de Y simplemente no tiene comunicacion con a traves de ese puerto,
> no llega a ningun equipo en X, etc. Eso no es un hub.
>
> Aunque se podria colocar un hub conectado al puerto X, y de alli
> conectar la red y los dos equipos; pero lo unico que se lograra
> es perder rendimiento (un switch con espejo igual tendra una
> backplane mas alto que un hub) y eventualmente el equipo que
> hace analisis de trafico podria ser "detectado" o podria meter
> ruido innecesariamente. (salvo que el cable de red solo conecte
> los cables Rx).
>
> --
> Germán Poó Caamaño
> http://www.ubiobio.cl/~gpoo/
>
>
Más información sobre la lista de distribución Linux