Tenho os seguintes 3 PCs conectados a um roteador via Ethernet:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Todos os PCs podem executar ping entre si.
PC1 possui Suricata instalado em modo IDS. Possui uma regra de ping simples incluída:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Eu lanço o Suricata digitando o seguinte comando no PC1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 é a principal interface Ethernet no PC1.
A regra de ping é acionada quando eu faço ping em PC1 de PC2 e PC3, e a mensagem apropriada é registrada no arquivo de log. Esta regra também é acionada quando faço ping em PC2 e PC3 a partir de PC1.
No entanto, esta regra não é acionada quando faço ping no PC2 do PC3 e vice-versa. Suricata escuta apenas na interface eth3 no PC1. O tráfego não passa pelo PC1 quando faço ping no PC2 do PC3, mesmo que todos os três PCs estejam na mesma rede.
É possível configurar o Suricata para monitorar toda a rede e não apenas o PC onde está instalado?
Responder1
Os switches Ethernet não transmitem todo o tráfego para todas as portas.
Uma troca unicast entre dois hosts em duas portas de switch separadas não será vista por um host de escuta em uma terceira porta de switch sob condições normais de operação.
Switches gerenciados mais caros, com funções empresariais como suporte a VLAN, geralmente possuem recursos de espelhamento de porta, que servem como um utilitário de escuta telefônica que duplica todo o tráfego enviado ou recebido em qualquer porta para uma segunda porta designada. Dependendo da marca e modelo do switch, pode haver ressalvas nesta função que podem tornar a porta designada menos funcional, ou seja: só capaz de receber tráfego, não enviar, enquanto o espelhamento estiver ativo.
Outra ressalva que provavelmente ocorre em todos os switches, exceto os mais poderosos e caros, é que apenas uma porta pode ser espelhada por vez. Para uma rede comutada de 3 nós, isso não é um problema, pois se uma ou outra porta for espelhada, qualquer destino com o qual o host na porta não monitorada pode se comunicar é monitorado. Uma rede de 4 nós, entretanto, deixaria duas portas sem monitoramento.
Em uma situação de gateway de Internet, o espelhamento de porta seria ativado entre o roteador e o switch e, portanto, capturaria todo o tráfego proveniente da Internet, mas não todo o tráfego da LAN.
Pode haver switches que possam espelhar todo o tráfego da VLAN ou do backplane para uma porta designada, mas não estou familiarizado com essa funcionalidade.
Responder2
dê uma olhada nos switches Netgear pro como:
GS105Ev2 – Switch Gigabit ProSAFE Plus de 5 portas
Eles são muito baratos e suportam uma configuração de espelho de porta. Coloque o switch entre o seu roteador e o resto da rede para visibilidade na Internet.