У меня есть следующие 3 ПК, подключенных к маршрутизатору через Ethernet:

ПК1 - 192.168.1.101 (Linux Ubuntu)

ПК2 - 192.168.1.100 (Windows)

ПК3 - 192.168.1.1 (Windows)

Все ПК могут пинговать друг друга.

На ПК1 установлена Suricata в режиме IDS. В него входит простое правило проверки связи:

alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)

Я запускаю Suricata, введя следующую команду на ПК1:

suricata -c /etc/suricata/suricata.yaml -i eth3

eth3 является основным интерфейсом Ethernet в ПК1.

Правило проверки связи срабатывает, когда я проверяю связь с ПК1 с ПК2 и ПК3, и соответствующее сообщение записывается в файл журнала. Это правило также срабатывает, когда я пингую ПК2 и ПК3 с ПК1.

Однако это правило не срабатывает, когда я пингую ПК2 с ПК3 и наоборот. Suricata слушает только на интерфейсе eth3 в PC1. Трафик не проходит через ПК1, когда я пингую ПК2 с ПК3, даже если все 3 ПК находятся в одной сети.

Можно ли настроить Suricata для мониторинга всей сети, а не только компьютера, на котором она установлена?

|источник

2 ответа2

1

Коммутаторы Ethernet не передают весь трафик на все порты.

Одноадресный обмен между двумя хостами на двух отдельных портах коммутатора не будет виден прослушивающему хосту на третьем порту коммутатора при нормальных условиях работы.

Более дорогие управляемые коммутаторы с корпоративными функциями, такими как поддержка VLAN, часто имеют функции зеркалирования портов, которые служат в качестве утилиты прослушивания телефонных разговоров, которая дублирует весь трафик, отправленный или полученный на любом одном порту, на второй назначенный порт. В зависимости от марки и модели коммутатора для этой функции могут быть оговорки, которые могут сделать назначенный порт менее функциональным, т. Е. Способным только принимать трафик, но не отправлять, когда зеркалирование активно.

Еще одна оговорка, которая вероятна для всех, кроме самых мощных и дорогих коммутаторов, заключается в том, что одновременно можно зеркалировать только один порт. Для сети с 3 узлами с коммутацией это не проблема, так как если один или другой порт зеркально отображен, то отслеживается любой пункт назначения, с которым может общаться хост на неконтролируемом порту. Однако сеть из 4 узлов оставила бы два порта без контроля.

В ситуации с интернет-шлюзом зеркалирование портов между маршрутизатором и коммутатором будет включено, и поэтому будет перехватывать весь интернет-трафик, но не весь трафик локальной сети.

Могут существовать коммутаторы, которые могут отражать весь VLAN или весь трафик объединительной платы на назначенный порт, но я не знаком с такой функциональностью.

|источник
-1

взгляните на переключатели Netgear Pro, например:

GS105Ev2 - 5-портовый гигабитный коммутатор ProSAFE Plus

Они довольно дешевые и поддерживают настройку зеркала порта. Поместите переключатель между вашим маршрутизатором и остальной частью сети для видимости Интернета.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .