次の 3 台の PC がイーサネット経由でルーターに接続されています。
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
すべての PC は相互に ping できます。
PC1 には Suricata が IDS モードでインストールされています。これには簡単な ping ルールが含まれています:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
PC1 で次のコマンドを入力して Suricata を起動します。
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 は PC1 のメイン イーサネット インターフェイスです。
PC2 および PC3 から PC1 に ping を実行すると、ping ルールがトリガーされ、適切なメッセージがログ ファイルに記録されます。このルールは、PC1 から PC2 および PC3 に ping を実行した場合にもトリガーされます。
ただし、PC3 から PC2 に ping を実行した場合、またその逆の場合、このルールはトリガーされません。Suricata は PC1 の eth3 インターフェイスのみをリッスンします。3 台の PC がすべて同じネットワーク上にあるにもかかわらず、PC3 から PC2 に ping を実行した場合、トラフィックは PC1 を通過しません。
Suricata をインストールした PC だけでなく、ネットワーク全体を監視するように構成することは可能ですか?
答え1
イーサネット スイッチはすべてのトラフィックをすべてのポートにブロードキャストするわけではありません。
通常の動作状態では、2 つの別々のスイッチ ポート上の 2 つのホスト間のユニキャスト交換は、3 番目のスイッチ ポート上のリスニング ホストには表示されません。
VLAN サポートなどのエンタープライズ機能を備えた、より高価なマネージド スイッチには、多くの場合、ポート ミラーリング機能があります。これは、1 つのポートで送受信されたすべてのトラフィックを 2 番目の指定ポートに複製する盗聴ユーティリティとして機能します。スイッチのメーカーとモデルによっては、この機能に制約があり、指定ポートの機能が低下する可能性があります (つまり、ミラーリングがアクティブな間はトラフィックの受信のみが可能で、送信はできない)。
最も強力で高価なスイッチを除くすべてのスイッチに当てはまるもう 1 つの注意点は、一度にミラーリングできるポートは 1 つだけであるということです。3 ノード スイッチ ネットワークの場合、これは問題ではありません。1 つのポートまたは他のポートがミラーリングされている場合、監視されていないポートのホストが通信できるいずれかの宛先が監視されます。ただし、4 ノード ネットワークでは、2 つのポートが監視されないままになります。
インターネット ゲートウェイの状況では、ルータとスイッチ間のポート ミラーリングがオンになり、インターネットからのすべてのトラフィックをキャッチしますが、LAN トラフィックはすべてキャッチするわけではありません。
すべての VLAN またはすべてのバックプレーン トラフィックを指定されたポートにミラーリングできるスイッチが存在する可能性がありますが、そのような機能についてはよくわかりません。
答え2
次のような Netgear プロスイッチをご覧ください:
GS105Ev2 – 5 ポート ギガビット ProSAFE Plus スイッチ
これらは非常に安価で、ポートミラー設定をサポートします。インターネットの可視性を確保するには、ルータとネットワークの残りの部分の間にスイッチを配置します。