Se tudo o que você deseja é realizar o monitoramento da rede, recomendo uma pequena reengenharia. Colocar um dispositivo em linha, como o que você está sugerindo, é realmente útil apenas quando você deseja realizar uma ação na atividade. Caso contrário, isso só adiciona complexidade à sua rede e adiciona um ponto adicional de falha. É melhor monitorar o tráfego passivamente usando portas espelhadas ou toques de rede.
A terminologia precisa para uma porta espelhada será diferente dependendo do seu fornecedor. Por exemplo, a Cisco os chama de Sessões de ramais, a Juniper usa o termo porta do analisador, mas em todos os casos o que você faz é ter seu equipamento de rede (normalmente um comutador ou roteador) envia uma cópia de algum conjunto de tráfego para outra porta. Os recursos exatos dependerão do hardware, mas, no mínimo, você deve esperar poder monitorar todo o tráfego entrando ou saindo de uma porta específica. Frequentemente, você desejará que este seja o uplink, mas dependerá exatamente do que você deseja monitorar e de como sua rede está organizada. A maior vantagem de usar uma porta espelhada é que ela é barata. Esse é um recurso que já existe em praticamente todo o hardware de classe "corporativo" e requer simplesmente que ele seja ativado. Pode haver algumas desvantagens, no entanto. Como isso exige que o equipamento de rede realize mais tarefas, ele pode impor carga adicional, portanto, dependendo de quão perto da capacidade você esteja, isso pode ser um problema. A maioria dos equipamentos também limita o número de coisas que você pode espelhar também. A maioria dos equipamentos da Cisco é limitada a duas sessões de span, e a instalação de um FSWM em um chassi 6500 consome uma sessão de intervalo. Ter um limite de dois normalmente não é um problema, mas como é um número relativamente baixo, é algo que deve ser mantido em mente.
Os toques de rede contornam os problemas de desempenho e dimensionamento, sendo dispositivos de hardware para fins especiais que espelham o tráfego. Eles trabalham sentados em linha e fisicamente dividindo os sinais. Então, enquanto eles são instalados em linha, eles são significativamente mais improváveis de sofrer no centro do que um computador. Existem versões de cobre e fibra, e elas podem ser um pouco caras (pense em $ 500 - $ 1500 USD esperados). Correndo o risco de vender um fornecedor específico, a NetOptics (fabricante de taps de rede) tem um razoável write-up .
A partir deste ponto, usar um sistema como o Snort é relativamente indolor. Não importa qual método você escolher, você provavelmente terá um ou dois cabos que fornecerão todos os dados desejados. Em seguida, você constrói sua caixa de Snort, coloca uma placa de rede extra para monitoramento e conecta o cabo da sua porta de monitoramento. Configure o snort para escutar nessa interface e veja os falsos positivos rolarem!