Làm cách nào để sử dụng Suricata IDS để giám sát toàn bộ mạng?

0

Tôi có 3 PC sau được kết nối với bộ định tuyến qua Ethernet:

PC1 - 192.168.1.101 (Linux Ubuntu)

PC2 - 192.168.1.100 (Windows)

PC3 - 192.168.1.1 (Windows)

Tất cả các PC có thể ping nhau.

PC1 đã cài đặt Suricata ở chế độ IDS. Nó có một quy tắc ping đơn giản bao gồm:

alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)

Tôi khởi chạy Suricata đang nhập lệnh sau trong PC1:

suricata -c /etc/suricata/suricata.yaml -i eth3

eth3 là giao diện Ethernet chính trong PC1.

Quy tắc ping được kích hoạt khi tôi ping PC1 từ PC2 và PC3 và thông báo thích hợp được ghi lại trong tệp nhật ký. Quy tắc này cũng được kích hoạt khi tôi ping PC2 và PC3 từ PC1.

Tuy nhiên, quy tắc này không được kích hoạt khi tôi ping PC2 từ PC3 và ngược lại. Suricata chỉ nghe trên giao diện eth3 trong PC1. Lưu lượng truy cập không đi qua PC1 khi tôi ping PC2 từ PC3, mặc dù cả 3 PC đều nằm trên cùng một mạng.

Có thể cấu hình Suricata để giám sát toàn bộ mạng và không chỉ PC được cài đặt không?

networking  router  ethernet  monitoring 
Alex
nguồn

Câu trả lời:

1

Thiết bị chuyển mạch Ethernet không phát tất cả lưu lượng đến tất cả các cổng.

Một trao đổi unicast giữa hai máy chủ trên hai cổng chuyển đổi riêng biệt sẽ không được nhìn thấy bởi một máy chủ nghe trên cổng chuyển đổi thứ ba trong điều kiện hoạt động bình thường.

Các bộ chuyển mạch được quản lý đắt tiền hơn, với các chức năng doanh nghiệp như hỗ trợ Vlan thường có các tính năng phản chiếu cổng, hoạt động như một tiện ích wiretap sao chép tất cả lưu lượng được gửi hoặc nhận trên bất kỳ một cổng nào đến một cổng được chỉ định thứ hai. Tùy thuộc vào kiểu và công tắc chuyển đổi, có thể có một số cảnh báo cho chức năng này có thể làm cho cổng được chỉ định ít chức năng hơn, nghĩa là: chỉ có thể nhận lưu lượng, không gửi, trong khi phản chiếu đang hoạt động.

Một cảnh báo khác có khả năng trên tất cả trừ các thiết bị chuyển mạch mạnh mẽ, đắt tiền nhất, đó là chỉ một cổng có thể được nhân đôi tại một thời điểm. Đối với mạng chuyển đổi 3 nút, đó không phải là vấn đề, vì nếu một hoặc một cổng khác được nhân đôi, thì đích đến của máy chủ trên cổng không được giám sát có thể được theo dõi. Tuy nhiên, một mạng 4 nút sẽ không để lại hai cổng.

Trong tình huống Cổng Internet, phản chiếu cổng sẽ được bật giữa bộ định tuyến và bộ chuyển mạch, và do đó sẽ bắt được tất cả lưu lượng truy cập có nguồn gốc từ Internet, nhưng không phải tất cả lưu lượng LAN.

Có thể tồn tại các công tắc có thể phản chiếu tất cả Vlan hoặc tất cả lưu lượng bảng nối đa năng đến một cổng được chỉ định, nhưng tôi không quen với chức năng đó.

Nevin Williams
nguồn
Cảm ơn bạn rất nhiều vì câu trả lời chi tiết, Nevin. Tôi rất mới với mạng, vì vậy thật tốt khi biết về tính năng phản chiếu cổng mà các thiết bị chuyển mạch có thể có. Tôi chỉ có quyền truy cập vào một bộ định tuyến USRobotics giá rẻ. Vì vậy, tôi cho rằng tôi sẽ không thể giải quyết vấn đề của mình nếu không có một công tắc tốt.
Alex
-1

hãy xem các thiết bị chuyển mạch Netgear pro như:

GS105Ev2 - Bộ chuyển mạch Gigabit ProSAFE Plus 5 cổng

Chúng khá rẻ và hỗ trợ thiết lập gương cổng. Đặt công tắc giữa bộ định tuyến của bạn và phần còn lại của mạng để hiển thị trên internet.

Martin
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.