Ich habe folgende 3 PCs über Ethernet mit einem Router verbunden:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Alle PCs können sich gegenseitig anpingen.
Auf PC1 ist Suricata im IDS-Modus installiert. Es enthält eine einfache Ping-Regel:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Ich starte Suricata, indem ich den folgenden Befehl in PC1 eingebe:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 ist die wichtigste Ethernet-Schnittstelle in PC1.
Die Ping-Regel wird ausgelöst, wenn ich von PC2 und PC3 aus PC1 anpinge, und die entsprechende Meldung wird in der Protokolldatei aufgezeichnet. Diese Regel wird auch ausgelöst, wenn ich von PC1 aus PC2 und PC3 anpinge.
Diese Regel wird jedoch nicht ausgelöst, wenn ich PC2 von PC3 aus anpinge und umgekehrt. Suricata hört nur auf der eth3-Schnittstelle in PC1 zu. Der Datenverkehr geht nicht durch PC1, wenn ich PC2 von PC3 aus anpinge, obwohl sich alle 3 PCs im selben Netzwerk befinden.
Ist es möglich, Suricata so zu konfigurieren, dass es das gesamte Netzwerk überwacht und nicht nur den PC, auf dem es installiert ist?
Antwort1
Ethernet-Switches übertragen nicht den gesamten Datenverkehr an alle Ports.
Ein Unicast-Austausch zwischen zwei Hosts auf zwei separaten Switch-Ports wird unter normalen Betriebsbedingungen von einem lauschenden Host auf einem dritten Switch-Port nicht gesehen.
Teurere verwaltete Switches mit Enterprise-Funktionen wie VLAN-Unterstützung verfügen häufig über Port-Mirroring-Funktionen, die als Abhörprogramm dienen und den gesamten an einem Port gesendeten oder empfangenen Datenverkehr auf einen zweiten, dafür vorgesehenen Port duplizieren. Je nach Hersteller und Modell des Switches kann diese Funktion Einschränkungen aufweisen, die die Funktionalität des dafür vorgesehenen Ports einschränken können, z. B.: Während die Spiegelung aktiv ist, kann nur Datenverkehr empfangen, aber nicht gesendet werden.
Ein weiterer Vorbehalt, der wahrscheinlich bei allen Switches außer den leistungsstärksten und teuersten gilt, ist, dass immer nur ein Port gleichzeitig gespiegelt werden kann. Bei einem Switch-Netzwerk mit 3 Knoten ist das kein Problem, denn wenn der eine oder andere Port gespiegelt ist, wird jedes Ziel überwacht, mit dem der Host am nicht überwachten Port kommunizieren kann. Bei einem Netzwerk mit 4 Knoten blieben jedoch zwei Ports unüberwacht.
In einer Internet-Gateway-Situation würde die Portspiegelung zwischen dem Router und dem Switch aktiviert und würde so den gesamten aus dem Internet stammenden Datenverkehr, aber nicht den gesamten LAN-Datenverkehr erfassen.
Es gibt möglicherweise Switches, die den gesamten VLAN- oder Backplane-Verkehr auf einen bestimmten Port spiegeln können, aber ich bin mit einer solchen Funktionalität nicht vertraut.
Antwort2
Schauen Sie sich die Netgear Pro-Switches an wie:
GS105Ev2 – 5-Port Gigabit ProSAFE Plus Switch
Sie sind recht günstig und unterstützen eine Port-Mirror-Einrichtung. Platzieren Sie den Switch zwischen Ihrem Router und dem Rest des Netzwerks, um die Internetsichtbarkeit zu gewährleisten.