Verwendung des Suricata IDS zur Überwachung des gesamten Netzwerks

2353
KronoS

Ich habe die folgenden 3 PCs, die über Ethernet an einen Router angeschlossen sind:

PC1 - 192.168.1.101 (Linux Ubuntu)

PC2 - 192.168.1.100 (Windows)

PC3 - 192.168.1.1 (Windows)

Alle PCs können sich gegenseitig pingen.

Auf PC1 ist Suricata im IDS-Modus installiert. Es enthält eine einfache Ping-Regel:

alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)

Ich starte Suricata, indem Sie in PC1 den folgenden Befehl eingeben:

suricata -c /etc/suricata/suricata.yaml -i eth3

eth3 ist die Haupt-Ethernet-Schnittstelle in PC1:

Verwendung des Suricata IDS zur Überwachung des gesamten Netzwerks

Die Ping-Regel wird ausgelöst, wenn ich PC1 von PC2 und PC3 anpinge und die entsprechende Meldung in der Protokolldatei aufgezeichnet wird. Diese Regel wird auch ausgelöst, wenn ich PC2 und PC3 von PC1 aus anrufe.

Diese Regel wird jedoch nicht ausgelöst, wenn ich PC2 von PC3 aus ping und umgekehrt. Suricata hört nur auf der eth3-Schnittstelle in PC1. Der Datenverkehr wird nicht durch PC1 geleitet, wenn ich PC2 von PC3 aus pinge, obwohl sich alle 3 PCs im selben Netzwerk befinden.

Ist es möglich, Suricata so zu konfigurieren, dass das gesamte Netzwerk überwacht wird und nicht nur der PC, auf dem es installiert ist?

0
Verhält sich Ihr Router als Switch und verhindert, dass PC1 den Datenverkehr erkennt? Dies ist kein Suricata-Problem, sondern ein grundlegendes Problem beim Netzwerkdesign. schroeder vor 10 Jahren 1
Mir wurde klar, dass ich einen guten Switch brauche, der Port Mirroring unterstützt, damit er den gesamten Datenverkehr zur Überprüfung an PC1 senden kann. Ich habe nur einen billigen Router, der diese Funktion nicht unterstützt. vor 10 Jahren 0
Mögliches Duplikat von [Verwendung des Suricata IDS zur Überwachung des gesamten Netzwerks?] (http://superuser.com/questions/785635/how-to-use-the-suricata-ids-to-monitor-the-entire- Netzwerk) KronoS vor 10 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme