par admin » 02 nov. 2025, 23:40
Suricata, surveille par défaut, en "HostOnly", seulement le poste sur lequel il est installé. Voyons comment on peut le configurer à écouter tout le réseau interne, de chez nous. Il vous faut donc, au minimum, un bon switch...
Check-list de ChatGPT :
Oui. Le miroir pointe vers le port 2 et les autres ports sont cochés comme sources. Sur le principe c’est correct pour envoyer le trafic vers Suricata connecté sur le port 2.
Points à vérifier et recommandations opérationnelles (court et précis)
- 1. Interface de capture
- ○ Branchez Suricata sur le port 2. Ne donnez pas d’adresse IP à cette interface.
○ Activez le mode promisc si nécessaire : ip link set dev ethX promisc on.
- 2. Direction et limitation du SPAN
- ○ Vérifiez si le switch ne capture que l’ingress, l’egress ou les deux. Si c’est ingress-only vous manquerez la moitié du trafic.
○ Vérifiez la limite de sessions SPAN. Certains switches n’autorisent qu’un seul dest ou unidirectionnel.
- 3. Saturation et pertes
- ○ Si plusieurs ports sources agrégés dépassent la capacité du port 2, le switch va droper des paquets. Préférez un port 10Gb/s ou un TAP matériel si trafic élevé.
○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.
- 4. VLANs et trunks
- ○ Si le trafic miroir contient des VLAN tags, configurez Suricata pour accepter les tags (ou trunk chez le switch). Ne mettez pas le port 2 dans un VLAN qui filtre les paquets mirrorés.
- 5. Configuration Suricata (exemples)
- ○ Lancer en capture simple : suricata -c /etc/suricata/suricata.yaml -i ethX (ethX = port2).
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.
- 6. Tests rapides
- ○ tcpdump -i ethX -n pour vérifier que vous voyez le trafic attendu.
○ Generer du trafic test bidirectionnel et vérifier que Suricata logge les flows.
Conclusion : configuration du switch visible sur la capture = OK comme SPAN vers le port 2. Respectez les points 1–5 pour fiabilité et zéro IP sur l’interface de monitoring.
Source : ChatGPT.
Suricata, surveille par défaut, en "HostOnly", seulement le poste sur lequel il est installé. Voyons comment on peut le configurer à écouter tout le réseau interne, de chez nous. Il vous faut donc, au minimum, un bon switch...
Check-list de ChatGPT :
Oui. Le miroir pointe vers le port 2 et les autres ports sont cochés comme sources. Sur le principe c’est correct pour envoyer le trafic vers Suricata connecté sur le port 2.
Points à vérifier et recommandations opérationnelles (court et précis)
[list=1]1. Interface de capture[/list]
[list=2]○ Branchez Suricata sur le port 2. Ne donnez pas d’adresse IP à cette interface.
○ Activez le mode promisc si nécessaire : ip link set dev ethX promisc on.[/list]
[list=1]2. Direction et limitation du SPAN[/list]
[list=2]○ Vérifiez si le switch ne capture que l’ingress, l’egress ou les deux. Si c’est ingress-only vous manquerez la moitié du trafic.
○ Vérifiez la limite de sessions SPAN. Certains switches n’autorisent qu’un seul dest ou unidirectionnel.[/list]
[list=1]3. Saturation et pertes[/list]
[list=2]○ Si plusieurs ports sources agrégés dépassent la capacité du port 2, le switch va droper des paquets. Préférez un port 10Gb/s ou un TAP matériel si trafic élevé.
○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.[/list]
[list=1]4. VLANs et trunks[/list]
[list=2]○ Si le trafic miroir contient des VLAN tags, configurez Suricata pour accepter les tags (ou trunk chez le switch). Ne mettez pas le port 2 dans un VLAN qui filtre les paquets mirrorés.[/list]
[list=1]5. Configuration Suricata (exemples)[/list]
[list=2]○ Lancer en capture simple : suricata -c /etc/suricata/suricata.yaml -i ethX (ethX = port2).
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.[/list]
[list=1]6. Tests rapides[/list]
[list=2]○ tcpdump -i ethX -n pour vérifier que vous voyez le trafic attendu.
○ Generer du trafic test bidirectionnel et vérifier que Suricata logge les flows.[/list]
Conclusion : configuration du switch visible sur la capture = OK comme SPAN vers le port 2. Respectez les points 1–5 pour fiabilité et zéro IP sur l’interface de monitoring.
Source : ChatGPT.