Tengo las siguientes 3 PC conectadas a un enrutador vía Ethernet:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Todas las PC pueden hacer ping entre sí.
La PC1 tiene Suricata instalado en modo IDS. Tiene una regla de ping simple incluida:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Lanzo Suricata ingresando el siguiente comando en la PC1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 es la interfaz Ethernet principal en la PC1.
La regla de ping se activa cuando hago ping a la PC1 desde la PC2 y la PC3, y el mensaje apropiado se registra en el archivo de registro. Esta regla también se activa cuando hago ping a la PC2 y la PC3 desde la PC1.
Sin embargo, esta regla no se activa cuando hago ping a la PC2 desde la PC3 y viceversa. Suricata escucha solo en la interfaz eth3 en la PC1. El tráfico no pasa por la PC1 cuando hago ping a la PC2 desde la PC3, aunque las 3 PC estén en la misma red.
¿Es posible configurar Suricata para monitorear toda la red y no solo la PC en la que está instalada?
Respuesta1
Los conmutadores Ethernet no transmiten todo el tráfico a todos los puertos.
Un intercambio de unidifusión entre dos hosts en dos puertos de conmutador separados no será visto por un host de escucha en un tercer puerto de conmutador en condiciones de funcionamiento normales.
Los conmutadores administrados más caros, con funciones empresariales como soporte VLAN, a menudo tienen funciones de duplicación de puertos, que sirven como una utilidad de intervención telefónica que duplica todo el tráfico enviado o recibido en cualquier puerto a un segundo puerto designado. Dependiendo de la marca y el modelo del conmutador, es posible que haya limitaciones a esta función que pueden hacer que el puerto designado sea menos funcional, es decir, que solo pueda recibir tráfico, no enviar, mientras la duplicación esté activa.
Otra advertencia que probablemente se aplica a todos los conmutadores, excepto a los más potentes y caros, es que sólo se puede duplicar un puerto a la vez. Para una red conmutada de 3 nodos, eso no es un problema, ya que si uno u otro puerto está reflejado, se monitorea cualquiera de los destinos con los que el host en el puerto no monitoreado puede hablar. Sin embargo, una red de 4 nodos dejaría dos puertos sin supervisión.
En una situación de puerta de enlace de Internet, la duplicación de puertos se activaría entre el enrutador y el conmutador, por lo que captaría todo el tráfico procedente de Internet, pero no todo el tráfico de LAN.
Es posible que existan conmutadores que puedan reflejar toda la VLAN o todo el tráfico del backplane en un puerto designado, pero no estoy familiarizado con dicha funcionalidad.
Respuesta2
Eche un vistazo a los conmutadores Netgear pro como:
GS105Ev2: conmutador Gigabit ProSAFE Plus de 5 puertos
Son bastante económicos y admiten una configuración de espejo de puerto. Coloque el interruptor entre su enrutador y el resto de la red para obtener visibilidad de Internet.