Posicionamento de um IDS em uma rede

[jeffson]

Pessoal,

basicamente é assim, a maquina Linux está instalada e com o hardening feito, o IDS está configurado no modo promiscuo, tudo ok! Minha dúvida é a parte final, como posiciono ele na rede, para que ele ouça todas as informações da rede sem que cause latência?

Minha antiga implementação, eu tinha instalado um linux, tinha recompilado o kernel para suportar bridges, tinha pego a interface da rede privada e a da publica, transformado em uma só e rodado o IDS em cima dela, dessa 1 interface, ele capturava todos os eventos, porém, se a maquina caisse, tudo caia. Hoje em dia eu administro uma rede grande, com roteadores cisco 7500, 12000, 2600... então basicamente :

internet -> router -> checkpoint-fw1 -> switch

Se eu quiser implementar um IDS sem que ele se torne um next_hop nessa rede, onde e como eu posiciono/configuro?

Queria muito poder configurar o IDS para ele ouvir tudo sem que a rede em si, dependa dele para passar pacotes, pensei até em substituir o switch por um hub que trabalha enviando broadcast para todo mundo, espetando os clientes no hub e o IDS nele também, sendo um equipamento de layer1, essa solução daria certo, mas como o trafego é muito alto e os switches aqui não são encore etc e sim catalysts, não posso perder desempenho.

Tenho essa dúvida a um bom tempo e ficaria MUITO feliz se alguém compartilhasse experiências :)

Att,

Jeferson Guardia.

[Mancha]

Companheiro,
o posicionamento do IDS vai depender do que você quer monitorar.
Mas de qualquer jeito, PELARMORDEDEUS não coloque um HUB na tua rede interna. Se você fizer isso não só o desempenho vai cair, como todo mundo vai poder sniffar tudo que passa na tua rede, incuindo senhas.

Eu vejo duas opções aí:
1) Se você quiser monitorar o trafego internet, você pode colocar um hub entre o teu roteador e o firewall. Assim teu IDS vai ouvir tudo, mas não vai influenciar no trafego.
2) Para monitorar a rede interna a melhor opção é você por uma porta do teu switch em modo espelhado, de forma que ele mande o trafego de todas as outras portas pra essa. Veja a documentação do teu equipamento para encontrar um jeito de fazer isso.

Agora, se o trafego da rede for tao grande quanto você fez entender, cuidado ao escolher a maquina que vai servir como IDS, pode ser que ela não aguente o volume e descarte muitos pacotes.
Outra coisa é a rede: se a soma do trafego de todas tuas portas for maior que o trafego da interface do IDS então você vai ficar sem monitorar muita coisa.

[]'s
Mancha

[mmachado]

Jeferson,

A solução que estudei durante um tempo foi o ethernet tapping, que inclusive já discuti neste tópico:
http://www.istf.com.br/vb/showthread.php?t=10010

Atualmente o que fazemos é o armazenamento desse tráfego em cada ponto de I/O da rede, que é centralizado em um equipamento destinado a gerar estatísticas e analisar o tráfego. Não é uma solução exatamente realtime (existem uns minutinhos de diferença que é o período entre as transferências desses "logs"), mas nós armazenamos todo o tráfego da rede para uma análise posterior, se for necessário.

Eu ainda prefiro a solução com o tapping.

[]s, MM

[jeffson]

galera, obrigadão, vocês me deram um grande help, vou considerar as duas soluções, switch em modo espelhado e o tapping, achei a ideia do tapping muito interessante, vou pesquisar preços e de repente submeto a aprovação de compra um desses para empresa e estudo a solução, obrigadão ai galera.

[jeffson]

é .. apos uns dias de testes , vou falar os resultados, considerei bastante o uso de tapping porém a vontade de testar isso tudo logo era tão grande que corri para o CatOS do catalyst, configurei um SPAN basico, joguei um cliente e uma interface do checkpoint em uma vlan, os dois sozinhos e fiz a mirror port nessa mesma vlan ouvindo trafego egress/ingress.. ficou bonito mesmo e alem de tudo, eu estou tirando a certificação CCDP de design da Cisco e acabei de descobrir como rodar meus linkloads/net analyzer para ouvir a rede toda hehe!! esse post foi bem util para mim, obrigado!

[benone]

Acho que a discussão já está encerrada no que diz respeito a tapping, mas acho muito importante a leitura deste material, independente de tratar-se do SNORT tem vários exemplos topológicos que podem ser aplicados a qualquer IDS:

http://www.snort.org/docs/iss-placement.pdf

Há na página 23 tem um exemplo parecido com o que uso aqui...

Fui...

[jhack]

Tem que conhecer a rede para fazer esse tipo de avaliação.
Mas a regra básica é a seguinte:

Roteador---IPS(HLBR)---iptables---Snort---Squid+iptables---Rede local