Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
RouterOS jako sensor IDS
2 views
Skip to first unread message
Andrzej W.
Nov 5, 2017, 1:46:38 PM11/5/17
to
Cześć,
Mam Mikrotika na krawędzi sieci i chciałbym sobie przeanalizować ruch
przez niego przechodzący.
RouterOS pozwala wysłać kopię ruchu w formacie TaZmen Sniffer Protocol
(TZSP) do zewnętrznego serwera.
Mikrotik udostępnia też program trafr, który może przekształca dane z
formatu TZSP do raw packet.
Dane te można strumieniować do jakiegoś systemu IDS w celu analizy.
Zastanawiam się czy nie było by lepiej "wpuścić" te dane do interfejsu
tap na maszynie na której jest system IDS. Do interfejsu sieciowego może
być podłączony nie tylko system IDS ale też jakieś inne analizatory itp.
co w wypadku przekierowanego do programu strumienia nie jest chyba takie
łatwe.
Czy widzicie jakieś zalety takiego rozwiązania, a przede wszystkim jakie
są wady/niebezpieczeństwa wpuszczenia kopi ruchu z odległego
zewnętrznego interfejsu na interfejs TAP komputera wewnątrz sieci lokalnej?
--
AWa.
Mam Mikrotika na krawędzi sieci i chciałbym sobie przeanalizować ruch
przez niego przechodzący.
RouterOS pozwala wysłać kopię ruchu w formacie TaZmen Sniffer Protocol
(TZSP) do zewnętrznego serwera.
Mikrotik udostępnia też program trafr, który może przekształca dane z
formatu TZSP do raw packet.
Dane te można strumieniować do jakiegoś systemu IDS w celu analizy.
Zastanawiam się czy nie było by lepiej "wpuścić" te dane do interfejsu
tap na maszynie na której jest system IDS. Do interfejsu sieciowego może
być podłączony nie tylko system IDS ale też jakieś inne analizatory itp.
co w wypadku przekierowanego do programu strumienia nie jest chyba takie
łatwe.
Czy widzicie jakieś zalety takiego rozwiązania, a przede wszystkim jakie
są wady/niebezpieczeństwa wpuszczenia kopi ruchu z odległego
zewnętrznego interfejsu na interfejs TAP komputera wewnątrz sieci lokalnej?
--
AWa.
0 new messages