Цитата |
---|
FRom пишет: 3. Мало того, в такой ситуации понадобятся значительные вложения в железо: Обычно сервера стоят на 100Мбит/с или даже 1Гбит/с подключениях. Это значит, что на снорте и на его свиче сеть должна быть в 6 раз быстрее, что если и реализуемо, то стоит дорого. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник. |
Не совсем так.
1. Во-первых, трафик на сервера подается пульсирующий, т.е. гигабит (если там гигабит) - это максимальное значение, которое держится недолго, если вообще достигает. На практике, значение загрузки канала будет ниже. А следовательно, скорость работы IDS нужна не в 6 раз большая.
2. Фильтры на IDS (не обязательно это должен быть Snort) отсекает часть трафика, а следовательно объем трафика для анализа становится еще ниже.
3. На комп можно поставить несколько копий Snort, каждая из которых будет слушать свою сетевую карту.
4. Можно использовать балансировщики нагрузки, которые решают проблему с распараллеливанием высокоскоростного трафика на несколько малопроизводительных сенсоров.
5. И наконец, уже существуют IDS, работающие на скоростях до 4 Гбит/сек. При этом сейчас ведутся работы по созданию IDS для 10-тигигабитных сетей.