私は、約 500 メガビットのインターネット接続で小規模ビジネス ネットワークを運営しており、NIPS (ネットワーク侵入防止システム) を導入したいと考えています。私は、SNORT または SURICATA を最適なソフトウェアとして特定しました (そして、あまり知らない Zeek かもしれません)。おそらくPFSenseなどで。TBD。
ビジネスでは、標準の Windows LAN ケーブル PC と同様に、Wifi が頻繁に使用されています。現在、基本的なルーター/モデムがすべてを処理しています。
現在のネットワーク トポロジ:
INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc
インターネット ルーターの前に、この SNORT/SURICATA ボックス用の 2 つまたは 4 つのコア + 4GB の RAM と基本的な 1gbps ネットワーク カードを備えた基本的な Linux ボックスを挿入したいと考えています。
以下は、NIPS を導入するための良い手段であることを確認したいと思います。
望ましいネットワーク トポロジ:
INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.
質問:この設定により、SNORT/SURICATA ボックス (既定の設定が与えられている/何も有効になっていない) は次のことができるようになりますか?
- 発信と着信の両方の WAN トラフィックの LAN ソース IP アドレスを追跡します。つまり、「ルーターIPとリモートIP」ではなく、「ローカルコンピューターLAN IPとリモートIP」間のトレント接続
- SNORT/SURICATA ボックスにログインする機能 (サブネットのクレイジーさはありません - 少なくとも問題を解決するのはそれほど難しくありません)
- ここに落とし穴はありますか?
これは従業員が 300 人ではなく 20 人の小規模企業の場合であることに注意してください。この規模では、すべてのベスト プラクティスに準拠することは現実的ではありません。
上記のLinuxボックスにWIFIネットワークカードを追加することに熱心ではありません。その理由は、危機の際に、snort ボックスのプラグを抜いて 2 台のルーターを接続し、ボックスが何らかの理由 (snort ルールの誤り、ハード ドライブの故障など) でダウンした場合に備えて、すぐにオフィスにインターネットを提供できるようにしたいからです。 . また、ルーター/モデムは接続を確立するためにクリックする必要があります.Putty をロードする必要はありません.Putty をロードする必要はありません。
助けてくれてありがとう!