Tengo las siguientes 3 PC conectadas a un enrutador vía Ethernet:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Todas las PC pueden hacer ping entre sí.
La PC1 tiene Suricata instalado en modo IDS. Tiene una regla de ping simple incluida:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Lanzo Suricata ingresando el siguiente comando en la PC1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 es la interfaz Ethernet principal en la PC1:
La regla de ping se activa cuando hago ping a la PC1 desde la PC2 y la PC3, y el mensaje apropiado se registra en el archivo de registro. Esta regla también se activa cuando hago ping a la PC2 y la PC3 desde la PC1.
Sin embargo, esta regla no se activa cuando hago ping a la PC2 desde la PC3 y viceversa. Suricata escucha solo en la interfaz eth3 en la PC1. El tráfico no pasa por la PC1 cuando hago ping a la PC2 desde la PC3, aunque las 3 PC estén en la misma red.
¿Es posible configurar Suricata para monitorear toda la red y no solo la PC en la que está instalada?