Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Snort - Wo platzieren

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

18.10.2013 um 10:56 Uhr, 2204 Aufrufe, 4 Kommentare, 1 Danke

Hi,
im Bild ist das Setup um welches es hier geht zu sehen.


b8281d1b21ec6a6e0f3377cd9f5b03ba - Klicke auf das Bild, um es zu vergrößern

Gehe ich recht in der annahme das wenn ich entweder bei A oder B den Port auf einen Snort spiegel,
ich den gesamten Traffic der VON/ZUM Internet geht/kommt abfangen kann ohne das ein switch
die packete veraendert ? Die eingesetzten Switche sind doof, also nicht managebar, sollten also
imho weder die packete veraendern/header/sonstiges ?

wie sieht das mit packeten aus die z.b von clients generiert/abgefragt werden die am tplink haengen ?
oder wuerdet ihr das anders loesen ?



Mitglied: aqui
18.10.2013, aktualisiert um 11:43 Uhr
Deine Annahme ist korrekt aber wie bitte willst du einen Mirrorport einrichten auf einen unmanaged Switch ?? Das musst du dem Forum mal erklären...!
Die NetGear Billiggurken machen dir dein Konzept zunichte !
Das geht nur mit einem managed Switch minimum mit einem WebSmart Switch. Bei sFlow oder NetFlow fähigen Switches kannst du sogar mit sFlow jeden port überwachen.
Wenn du denn wenigstens einen managed Switch hättest.
Mit der Hardware oben ist dein Vorhaben nicht umsetzbar oder du musst den Snort Host mit 2 bridged NICs in den Link zum Router einschleifen.
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Bitte warten ..
Mitglied: agnostiker
18.10.2013 um 12:01 Uhr
Fehler meinerseits:

der obere switch ist nicht unmanaged, es ist der hier:

http://www.amazon.de/gp/product/B004BM3M6W/ref=oh_details_o00_s00_i00?i ...

ODER ich kann vom lancom direkt einen port definieren.

die naechste Frage:

Würdet Ihr eher den Lancom als zum monitoren konfigurieren ODER das eher auf dem Netgear,
ich frage bezueglich der Bandbreite ich denke der Netgear der sonst nichts zu tun hat wird dafuer eher geeignet sein
als der Lancom der ja on Top mit Nat/Firewall etc eher belastet ist als der Netgear oder ?
Bitte warten ..
Mitglied: MrNetman
18.10.2013 um 16:16 Uhr
auf dem Lancom.
Der Netgear ist nur äußerst begrenzt managebar. Spiegeln kann er aber. Du kannst ja auch den uplink zum Lancom spiegeln.
Aber wenn du etwas veränder musst, dann ist immer wieder der Lancom gefragt. Der Netgear bedarf keiner weiteren Modifikation, wenn alles eingerichtet ist.

GRuß
Netman
Bitte warten ..
Mitglied: aqui
18.10.2013, aktualisiert um 16:28 Uhr
NetGear ist ein Consumer Billigswitch der unteren Kategorie. Die haben meist eine sehr üble und schwache CPU und das Mirroring passiert deshalb oft CPU switched.
Da muss man also vorsichtig sein wie Kollege Netman schon sagt und es probieren und mal die Switch CPU beobachten. Hängt dann vom Mirror Traffic bzw. der Bandbreite deines Internet Anschlusses ab.
Ob der Lancom da besser ist ist fraglich. Dort ist auch ein schwachbrüstiger SoC Chip drin der eigentlich dafür nicht gemacht ist, bzw. der Lancom soll in erster Linie routen und Firewall spielen.
Versuch macht klug.....! Ein dedizierter Rat ist da nicht möglich ohne in Lotterie raten abzugleiten....
Bitte warten ..
Ähnliche Inhalte
Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Firewall
Snort FTP Rule
Frage von ReinartzFirewall1 Kommentar

Hallo Gemeinde, ich habe ein Problem mit einer Snort Regel. Ich möchte gern einen Alarm Eintrag erzeugen wenn ein ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Firewall
PfSense: Keine Snort VRT-Updates mehr?
Frage von mrserious73Firewall6 Kommentare

Hallo, betreibe zwei pfSense-Installationen (aktuelle Firmware-Version), auf beiden erhalte ich seit gestern keine VRT-Updates mehr. Wenn ich's manuell anstoße, ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 4 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 5 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 8 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 9 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba31 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...

Batch & Shell
CMD-Fenster nach Task schließen
gelöst Frage von Hyperlink.93Batch & Shell16 Kommentare

Hallo, ich habe ein Skript was über einen Task bei jeder User Anmeldung läuft. Der Task startet eine CMD ...

Netzwerkmanagement
Sehr langsame Netzverbindung in einem bestimmten Subnet
gelöst Frage von gabeBUNetzwerkmanagement15 Kommentare

Hallo Zusammen Ich habe das folgende Problem: Unser Netzwerk, dass aus verschiedenen Subnetzwerken aufgebaut ist, ist nicht in jedem ...