security - Suricata HOME_NET 配置问题(SPAN 端口)
问题描述
作为一个项目,我有一个物理防火墙(IP:10.0.0.2),其 SPAN 端口配置为运行 Suricata IDS 的物理 linux(CentOS 6)(IP:10.0.0.3)。
从理论上讲,我应该通过我称为“span0”的接口接收到盒子的所有流量。我可以通过运行 ifconfig 并查看流量来确认这一点。所以一切都很好。
按如下方式运行 Suricata 时:sudo suricata -c /etc/suricata/suricata.yaml -i span0 | 我没有收到任何错误。也很好。
这里的问题是如何配置 suricata.yaml 文件。
- 我应该在 10.0.0.2 还是 10.0.0.0/8 上安装 HOME_NET?
期待听到您的反馈,Jan (Honza) Novak
解决方案
我不是一个出色的 IDS 设置专家,但我建议配置取决于网络设置。
如果防火墙只是通过自己广播所有内容,那么您应该选择 10.0.0.0/8 来保护整个网络。另一方面,使用此设置,网络内的事件可能会被忽视。
如果配置了 NAT,那么我建议选择 10.0.0.2 来跟踪网络内外可能的恶意活动。
推荐阅读
- arduino - 如何使用 FreeRTOS 上的队列从一个任务到另一个任务发送和接收字符?
- python - 如何在我的 Discord Bot 中修复我的 datetime 命令?
- kubernetes - Istio -- 删除 istio-control-plane 进程被冻结
- android - 如何使用 Android Accessibility Services 获得点击的 View Elements?
- java - 片段活动中的不可达语句
- android - Android App中非英文字符的Json值错误
- r - 将字符向量转换为时间并提取值
- elasticsearch - Elastic Pipelines: Skip Import On Failure
- python - 如何使用 python webscraping 从 datalayer.push 获取数据数据
- vb.net - Microsoft.WinForms.ReportViewer 中的高级 SSRS 报告功能