Ich habe folgende 3 PCs über Ethernet mit einem Router verbunden:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Alle PCs können sich gegenseitig anpingen.
Auf PC1 ist Suricata im IDS-Modus installiert. Es enthält eine einfache Ping-Regel:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Ich starte Suricata, indem ich den folgenden Befehl in PC1 eingebe:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 ist die Haupt-Ethernet-Schnittstelle in PC1:
Die Ping-Regel wird ausgelöst, wenn ich von PC2 und PC3 aus PC1 anpinge, und die entsprechende Meldung wird in der Protokolldatei aufgezeichnet. Diese Regel wird auch ausgelöst, wenn ich von PC1 aus PC2 und PC3 anpinge.
Diese Regel wird jedoch nicht ausgelöst, wenn ich PC2 von PC3 aus anpinge und umgekehrt. Suricata hört nur auf der eth3-Schnittstelle in PC1 zu. Der Datenverkehr geht nicht durch PC1, wenn ich PC2 von PC3 aus anpinge, obwohl sich alle 3 PCs im selben Netzwerk befinden.
Ist es möglich, Suricata so zu konfigurieren, dass es das gesamte Netzwerk überwacht und nicht nur den PC, auf dem es installiert ist?