問題タブ [suricata]

私は、約 500 メガビットのインターネット接続で小規模ビジネス ネットワークを運営しており、NIPS (ネットワーク侵入防止システム) を導入したいと考えています。私は、SNORT または SURICATA を最適なソフトウェアとして特定しました (そして、あまり知らない Zeek かもしれません)。おそらくPFSenseなどで。TBD。

ビジネスでは、標準の Windows LAN ケーブル PC と同様に、Wifi が頻繁に使用されています。現在、基本的なルーター/モデムがすべてを処理しています。

現在のネットワーク トポロジ:

インターネット ルーターの前に、この SNORT/SURICATA ボックス用の 2 つまたは 4 つのコア + 4GB の RAM と基本的な 1gbps ネットワーク カードを備えた基本的な Linux ボックスを挿入したいと考えています。

以下は、NIPS を導入するための良い手段であることを確認したいと思います。

望ましいネットワーク トポロジ:

質問:この設定により、SNORT/SURICATA ボックス (既定の設定が与えられている/何も有効になっていない) は次のことができるようになりますか?

1. 発信と着信の両方の WAN トラフィックの LAN ソース IP アドレスを追跡します。つまり、「ルーターIPとリモートIP」ではなく、「ローカルコンピューターLAN IPとリモートIP」間のトレント接続
   2. SNORT/SURICATA ボックスにログインする機能 (サブネットのクレイジーさはありません - 少なくとも問題を解決するのはそれほど難しくありません)
   3. ここに落とし穴はありますか？

これは従業員が 300 人ではなく 20 人の小規模企業の場合であることに注意してください。この規模では、すべてのベスト プラクティスに準拠することは現実的ではありません。

上記のLinuxボックスにWIFIネットワークカードを追加することに熱心ではありません。その理由は、危機の際に、snort ボックスのプラグを抜いて 2 台のルーターを接続し、ボックスが何らかの理由 (snort ルールの誤り、ハード ドライブの故障など) でダウンした場合に備えて、すぐにオフィスにインターネットを提供できるようにしたいからです。 . また、ルーター/モデムは接続を確立するためにクリックする必要があります.Putty をロードする必要はありません.Putty をロードする必要はありません。

助けてくれてありがとう！

docker-compose を使用して Evebox を起動しましたが、localhost:5636 に接続できません。

私の docker-compose ファイルの一部:

localhost:5636 で Evebox に接続できませんが、docker コンテナーにアクセスするために使用すると接続できdocker exec -it 2c50f02b7385 /bin/shます。

どうすれば修正できますか？

pcap 出力を取得するように suricata.yaml を構成しました。これを Kafka に送信する必要があります。suricata ドキュメントでは、kafka に送信する構成については何もありません。pcap出力をkafkaに直接送信するにはどうすればよいですか? カフカはsuricataの出力を聞くことができますか? または、それらの間で追加のツールを使用する必要がありますか?

ありがとう。

次のように DPDK-19.11.1 LTS を正常にインストールしました：</p>

そして、私がバインドしたNICは次のとおりです。

例 ( dpdk/dpdk-stable-19.11.3/examples/skeleton/build/basicfwd) を実行すると、関数rte_eth_dev_count_avail()はバインドしたポートを返しますdpdk-devbind.py。

Ubuntu 16.04 LTS にSuricata-4.1.4もインストールしましたが、suricata を実行すると、dpdk ポートは常に 0 を返します。

だから私はこの問題をどのように解決できるか知りたいですか？