[GTER] dimensionamento de equipamento para netflow

[Carlos Ribeiro]

Respostas rápidas:

1) Sim, tanto em tempo real como "post mortem" (útil pra ataques de
madrugada onde o técnico não percebe na hora).
2) Você pode fazer espelhamento ou fazer coleta de bilhetes Netflow
diretamente no roteador. Dependendo do seu roteador a segunda estratégia é
mais simples e pode dar resultados bem eficazes.
3) Depende da taxa de amostragem... agora estou sem tempo mas depois dá
para discutir como chegar nesse número.
4) A gosto do freguês. Mas eu pessoalmente prefiro usar um analisador
NetFlow comercial. Vem tudo "pronto" e resolve um problema fundamental que
é a manutenção constante dos logs rotativos, que é bem chata de fazer.

*Carlos Ribeiro*
*Sócio*
Cel: +55 (31) 9303-3366
Tel: +55 (31) 3305-5620
Geral: +55 (31) 3305-5600
cribeiro at telbrax.com.br
www.telbrax.com.br

Em 30 de janeiro de 2015 11:05, Paulo Coimbra <coimbra.root at gmail.com>
escreveu:

> Bom dia,
>
> Estou pensando em adquirir um servidor para utilizar o netflow (e
> provavelmente algo como snort) em um link atualmente de 1Gb. Pretendo rodar
> esse servidor em uma porta espelhada do switch. Com isso, surgiram algumas
> dúvidas e gostaria da opinião dos colegas.
> 1) É viável uma aquisicao dessas para esse tipo de serviço para
> monitoramento de eventuais "anomalias" na rede?
> 2) A ideia de espelhar uma porta no switch para isso é o recomendado, no
> caso somente de monitoramento? O switch atual é um HP V1910-16G.
> 3) Qual seria um bom dimensionamento para esse servidor?
> 4) Qual S.O recomendariam? FreeBSD, Linux?
>
>
> --
> br,
>
> Paulo Coimbra
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter