Hardware sondy

strict warning: Only variables should be passed by reference in /app/www/honza/www/drupal-new/modules/book/book.module on line 559.
Pokud je potřeba naimplementovat IDS, je otázkou jaký způsob monitorování zvolit. Je možnost použít HUBy, Switche nebo TAPy. Každé z těchto zařízení má svoje omezení, které je nutné znát aby bylo možné tyto systémy vhodně nasadit.

Switche
Lepší spravovatelné switche mají implementovánu vlastnost, nazvanou monitorovací port. Na tento port je možné kopírovat veškerou komunikaci, která skrz tento přepínač protéká. Nevýhodou je náročnost zpracování tohoto toku informací, zvlášť na vnitřní síti. Tyto porty bývají nazývané:
- Port mirroring
- SMON - Switch Monitoring
Nevýhodou těchto zařízení je jejich MAC adresa. TCP protokol obsahuje na Ethernet síti informace o MAC adrese odesilatele, ale z komunikace (tcpdump) je možné zjistit MAC adresu, se kterou se skutečně komunikuje. Bližší informace lze najít i na Wikipedii

HUBy
Pro monitorování sítě je možné využít i HUBy. Nevýhodou je nutnost používání stejného nastavení sítě (rychlost a duplex), v jiném případě se stroje navzájem nevidí. Některé HUBy jsou inteligentnější a bohužel mají také vlastní MAC adresu. Bližší informace lze najít i na Wikipedii

Hardware TAPy
Pro sítě s rychlostí do 100Mbit/s je možné použít hardware TAPy, které je možné vyrobit za pár korun. Protože toto "udělátko" posílá každý datový proud jednu síťovou kartu (jak pro Tx tak pro Rx), je nutné mít pro analýzu nejenom dva oddělené vstupy, ale navíc i tyto karty manuálně nastavit do promiskuitního módu a na rychlost používanou pro spojení mezi těmito dvěmi body.
Při pohledu na zapojení Ethernetu jsou jednotlivé žíly zapojeny následujícím způsobem:



Pro vytvoření jednoduchého TAPu je nutné spojit čtyři zásuvky vodiči následujícím způsobem:



Dále je vhodné, aby kabely vedoucí k síťovým kartám zajišťujících monitorování provozu nebyly delší než jeden metr, krabička aby byla stíněná a každá dvojice vodičů byla "rozpletena" na co nejkratší vzdálenosti. Problémem je možné zhoršení kvality signálu při přístupu na médium.


Sondy
Poslední možností je použít speciální TAPy nebo sondy, umožňující elektronicky kopírovat data na jeden či více portů pro snadnější analýzu a zpracování. Tyto sondy jsou vyráběné množstvím firem a jejich cena se pohybuje v řádu jednotek až desítek tisíc korun. V tomto směru poradí strýček Google, ale je nutné porovnat vlatnosti těchto produktů a zjistit, který je pro dané nasazení nejvhodnější. Pár výrobců je například:
BlackBox
ComCraft Fr
CriticalTap
DataCom Systems
Finisar
Intrusion
LAN/WAN Tap
NetOptics
Network Instruments
Phoenix Datacom
Top Layer
VSS Monitoring

http://www.dgonzalez.net/pub/roc/
http://en.wikipedia.org/wiki/Network_tap
http://en.wikipedia.org/wiki/Intrusion_detection_system

Powered by Drupal - Design by artinet