Check-list de ChatGPT :
Oui. Le miroir pointe vers le port 2 et les autres ports sont cochés comme sources. Sur le principe c’est correct pour envoyer le trafic vers Suricata connecté sur le port 2.
Points à vérifier et recommandations opérationnelles (court et précis)
- 1. Interface de capture
- ○ Branchez Suricata sur le port 2. Ne donnez pas d’adresse IP à cette interface.
○ Activez le mode promisc si nécessaire : ip link set dev ethX promisc on.
- 2. Direction et limitation du SPAN
- ○ Vérifiez si le switch ne capture que l’ingress, l’egress ou les deux. Si c’est ingress-only vous manquerez la moitié du trafic.
○ Vérifiez la limite de sessions SPAN. Certains switches n’autorisent qu’un seul dest ou unidirectionnel.
- 3. Saturation et pertes
- ○ Si plusieurs ports sources agrégés dépassent la capacité du port 2, le switch va droper des paquets. Préférez un port 10Gb/s ou un TAP matériel si trafic élevé.
○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.
- 4. VLANs et trunks
- ○ Si le trafic miroir contient des VLAN tags, configurez Suricata pour accepter les tags (ou trunk chez le switch). Ne mettez pas le port 2 dans un VLAN qui filtre les paquets mirrorés.
- 5. Configuration Suricata (exemples)
- ○ Lancer en capture simple : suricata -c /etc/suricata/suricata.yaml -i ethX (ethX = port2).
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.
- 6. Tests rapides
- ○ tcpdump -i ethX -n pour vérifier que vous voyez le trafic attendu.
○ Generer du trafic test bidirectionnel et vérifier que Suricata logge les flows.
Source : ChatGPT.