Bagaimana cara menggunakan Suricata IDS untuk memonitor seluruh jaringan?

Saya memiliki 3 PC berikut yang terhubung ke router melalui Ethernet:

PC1 - 192.168.1.101 (Linux Ubuntu)

PC2 - 192.168.1.100 (Windows)

PC3 - 192.168.1.1 (Windows)

Semua PC dapat melakukan ping satu sama lain.

PC1 telah menginstal Suricata dalam mode IDS. Ini memiliki aturan ping sederhana termasuk:

alert icmp any any -> any any (msg:"PING detected"; sid:2; rev:1;)

Saya meluncurkan Suricata dengan memasukkan perintah berikut di PC1:

suricata -c /etc/suricata/suricata.yaml -i eth3

eth3 adalah antarmuka Ethernet utama di PC1:

masukkan deskripsi gambar di sini

Aturan ping dipicu ketika saya melakukan ping PC1 dari PC2 dan PC3, dan pesan yang sesuai dicatat dalam file log. Aturan ini juga dipicu ketika saya melakukan ping PC2 dan PC3 dari PC1.

Namun, aturan ini tidak dipicu ketika saya melakukan ping PC2 dari PC3 dan sebaliknya. Suricata hanya mendengarkan antarmuka eth3 di PC1. Lalu lintas tidak melewati PC1 ketika saya melakukan ping PC2 dari PC3, meskipun semua 3 PC berada di jaringan yang sama.

Apakah mungkin mengkonfigurasi Suricata untuk memonitor seluruh jaringan dan tidak hanya PC yang diinstalasi?

networking ubuntu suricata James Mertz
sumber

Apakah router Anda bertindak sebagai saklar dan mencegah PC1 melihat lalu lintas? Ini bukan masalah Suricata, tetapi masalah desain jaringan yang sangat mendasar.

schroeder

Saya menyadari bahwa saya memerlukan sakelar yang baik yang mendukung mirroring port, sehingga dapat mengirim semua lalu lintas ke PC1 untuk diperiksa. Saya hanya punya router murah yang tidak mendukung fitur itu.

kemungkinan duplikat dari Bagaimana cara menggunakan Suricata IDS untuk memonitor seluruh jaringan?

James Mertz