이더넷을 통해 라우터에 연결된 다음 PC 3대가 있습니다.
PC1 - 192.168.1.101(리눅스 우분투)
PC2 - 192.168.1.100(윈도우)
PC3 - 192.168.1.1(윈도우)
모든 PC는 서로 핑을 보낼 수 있습니다.
PC1에는 Suricata가 IDS 모드로 설치되어 있습니다. 여기에는 간단한 핑 규칙이 포함되어 있습니다.
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
PC1에 다음 명령을 입력하여 Suricata를 시작합니다.
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3은 PC1의 주요 이더넷 인터페이스입니다.
PC2와 PC3에서 PC1을 ping하면 ping 규칙이 트리거되고 해당 메시지가 로그 파일에 기록됩니다. 이 규칙은 PC1에서 PC2 및 PC3을 ping할 때도 트리거됩니다.
그러나 PC3에서 PC2를 핑하거나 그 반대로 핑할 때는 이 규칙이 트리거되지 않습니다. Suricata는 PC1의 eth3 인터페이스에서만 수신 대기합니다. PC 3대가 모두 동일한 네트워크에 있더라도 PC3에서 PC2를 핑할 때 트래픽이 PC1을 통과하지 않습니다.
Suricata가 설치된 PC뿐만 아니라 전체 네트워크를 모니터링하도록 구성할 수 있습니까?
답변1
이더넷 스위치는 모든 트래픽을 모든 포트에 브로드캐스트하지 않습니다.
두 개의 개별 스위치 포트에 있는 두 호스트 간의 유니캐스트 교환은 정상적인 작동 조건에서 세 번째 스위치 포트에 있는 수신 호스트에 의해 표시되지 않습니다.
VLAN 지원과 같은 엔터프라이즈 기능을 갖춘 더 비싼 관리형 스위치에는 포트 미러링 기능이 있는 경우가 많습니다. 이 기능은 한 포트에서 보내거나 받은 모든 트래픽을 두 번째 지정된 포트로 복제하는 도청 유틸리티 역할을 합니다. 스위치 제조업체 및 모델에 따라 이 기능에 주의할 사항이 있을 수 있으며 이로 인해 지정된 포트의 기능이 저하될 수 있습니다. 즉, 미러링이 활성화되어 있는 동안에는 트래픽을 수신만 할 수 있고 전송할 수는 없습니다.
가장 강력하고 값비싼 스위치를 제외한 모든 스위치에서 발생할 수 있는 또 다른 주의 사항은 한 번에 하나의 포트만 미러링할 수 있다는 것입니다. 3노드 교환 네트워크의 경우 이는 문제가 되지 않습니다. 마치 하나 또는 다른 포트가 미러링되는 것처럼 모니터링되지 않는 포트의 호스트가 통신할 수 있는 대상이 모니터링됩니다. 그러나 4노드 네트워크에서는 두 개의 포트가 모니터링되지 않습니다.
인터넷 게이트웨이 상황에서는 라우터와 스위치 사이에 포트 미러링이 켜져 모든 인터넷 소스 트래픽을 포착하지만 모든 LAN 트래픽은 포착하지 못합니다.
모든 VLAN 또는 모든 백플레인 트래픽을 지정된 포트로 미러링할 수 있는 스위치가 있을 수 있지만 저는 그러한 기능에 익숙하지 않습니다.
답변2
다음과 같은 Netgear pro 스위치를 살펴보십시오.
GS105Ev2 – 5포트 기가비트 ProSAFE Plus 스위치
가격이 꽤 저렴하고 포트 미러 설정을 지원합니다. 인터넷 가시성을 위해 라우터와 나머지 네트워크 사이에 스위치를 배치하십시오.