У меня есть следующие 3 ПК, подключенные к маршрутизатору через Ethernet:
ПК1 – 192.168.1.101 (Linux Ubuntu)
ПК2 – 192.168.1.100 (Windows)
ПК3 – 192.168.1.1 (Windows)
Все компьютеры могут пинговать друг друга.
На ПК1 установлена Suricata в режиме IDS. В нее включено простое правило ping:
alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)
Я запускаю Suricata, введя следующую команду на ПК1:
suricata -c /etc/suricata/suricata.yaml -i eth3
eth3 — основной интерфейс Ethernet на ПК1.
Правило ping срабатывает, когда я пингую PC1 с PC2 и PC3, и соответствующее сообщение записывается в файл журнала. Это правило также срабатывает, когда я пингую PC2 и PC3 с PC1.
Однако это правило не срабатывает, когда я пингую PC2 с PC3 и наоборот. Suricata слушает только интерфейс eth3 на PC1. Трафик не проходит через PC1, когда я пингую PC2 с PC3, хотя все 3 ПК находятся в одной сети.
Можно ли настроить Suricata для мониторинга всей сети, а не только того ПК, на котором он установлен?
решение1
Коммутаторы Ethernet не передают весь трафик на все порты.
Одноадресный обмен данными между двумя хостами на двух отдельных портах коммутатора не будет виден прослушивающему хосту на третьем порту коммутатора в нормальных условиях эксплуатации.
Более дорогие управляемые коммутаторы с функциями предприятия, такими как поддержка VLAN, часто имеют функции зеркалирования портов, которые служат утилитой прослушивания, дублирующей весь трафик, отправленный или полученный на любом порту, на второй назначенный порт. В зависимости от марки и модели коммутатора могут быть оговорки к этой функции, которые могут сделать назначенный порт менее функциональным, то есть: только принимать трафик, но не отправлять, пока активно зеркалирование.
Еще одно предостережение, которое, вероятно, есть у всех коммутаторов, кроме самых мощных и дорогих, заключается в том, что одновременно может быть зеркалирован только один порт. Для коммутируемой сети с 3 узлами это не проблема, так как если зеркалируется один или другой порт, контролируется любой пункт назначения, с которым может связаться хост на неконтролируемом порту. Однако в сети с 4 узлами два порта останутся неконтролируемыми.
В случае интернет-шлюза зеркалирование портов будет включено между маршрутизатором и коммутатором, и, таким образом, будет перехватывать весь трафик из Интернета, но не весь трафик локальной сети.
Возможно, существуют коммутаторы, которые могут зеркалировать весь трафик VLAN или всей объединительной платы на назначенный порт, но я не знаком с такой функциональностью.
решение2
взгляните на коммутаторы Netgear pro, такие как:
GS105Ev2 – 5-портовый гигабитный коммутатор ProSAFE Plus
Они довольно дешевы и поддерживают настройку зеркалирования портов. Разместите коммутатор между маршрутизатором и остальной сетью для видимости в Интернете.