May 20, 2011

Настройка портов коммутатора cisco для IDS/IPS Snort

SNORT® это сетевая система обнаружения и предотвращения вторжений (IDS/IPS) с открытым исходным кодом. SNORT использует язык описания правил, который сочетает преимущества методов обследования, основанных на подписях, протоколах и аномалиях. В настоящее время, SNORT это наиболее широко используемая технология обнаружения вторжения в мире, ставшая индустриальным стандартом де-факто.

Настройка устройств серии 2900xl/3500xl (Прослушивание на интерефейсе FastEthernet0/1 всего входящего и исходящего трафика интерфейса FastEthernet0/2):

Switch(config)#interface FastEthernet0/1
Switch(config-if)#port monitor FastEthernet0/2

Проверка конфигурации:

Switch#show port monitor
Monitor Port Port Being Monitored
--------------------- ---------------------
FastEthernet0/1 FastEthernet0/2

Настройка устройств серии 2940, 2950, 2955, 3550, 3560, 3750 и многих других необходимо в режиме глобального конфигурирования добавить команду monitor:

Switch(config)#monitor session 1 source interface fastEthernet 2
Switch(config)#monitor session 1 destination interface fastEthernet 1

Проверка конфигурации:

Switch#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa2
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa1
Filter VLANs: None

Ссылки:
http://www.snort.org/ - Домашняя страница Snort
http://www.snortgroup.ru/ - Русская группа пользователей Snort
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml - Catalyst Switched Port Analyzer (SPAN) Configuration Example

2 comments:

  1. А как snort то сконфигурить теперь?

    ReplyDelete
  2. Думаю дальше необходимо обращаться к официальной документации на сайте самого snort

    ReplyDelete