0

作为一个项目,我有一个物理防火墙(IP:10.0.0.2),其 SPAN 端口配置为运行 Suricata IDS 的物理 linux(CentOS 6)(IP:10.0.0.3)。

从理论上讲,我应该通过我称为“span0”的接口接收到盒子的所有流量。我可以通过运行 ifconfig 并查看流量来确认这一点。所以一切都很好。

按如下方式运行 Suricata 时:sudo suricata -c /etc/suricata/suricata.yaml -i span0 | 我没有收到任何错误。也很好。

这里的问题是如何配置 suricata.yaml 文件。

  • 我应该在 10.0.0.2 还是 10.0.0.0/8 上安装 HOME_NET?

期待听到您的反馈,Jan (Honza) Novak

4

1 回答 1

0

我不是一个出色的 IDS 设置专家,但我建议配置取决于网络设置。

如果防火墙只是通过自己广播所有内容,那么您应该选择 10.0.0.0/8 来保护整个网络。另一方面,使用此设置,网络内的事件可能会被忽视。

如果配置了 NAT,那么我建议选择 10.0.0.2 来跟踪网络内外可能的恶意活动。

于 2020-03-20T10:01:02.157 回答