Tenho os seguintes 3 PCs conectados a um roteador via Ethernet:
PC1 – 192.168.1.101 (Linux Ubuntu)
PC2 – 192.168.1.100 (Windows)
PC3 – 192.168.1.1 (Windows)
Todos os PCs podem executar ping entre si.
PC1 possui Suricata instalado em modo IDS. Possui uma regra de ping simples incluída:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Eu lanço o Suricata digitando o seguinte comando no PC1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 é a interface Ethernet principal no PC1:
A regra de ping é acionada quando eu faço ping em PC1 de PC2 e PC3, e a mensagem apropriada é registrada no arquivo de log. Esta regra também é acionada quando faço ping em PC2 e PC3 a partir de PC1.
No entanto, esta regra não é acionada quando faço ping no PC2 do PC3 e vice-versa. Suricata escuta apenas na interface eth3 no PC1. O tráfego não passa pelo PC1 quando faço ping no PC2 do PC3, mesmo que todos os três PCs estejam na mesma rede.
É possível configurar o Suricata para monitorar toda a rede e não apenas o PC onde está instalado?