Ho recentemente installato la distro di Security Onion per Ubuntu.
Questa distro fa un ottimo lavoro combinando più strumenti come snort / suricata, sguil, snorby, elsa, bro id, squert, ecc. All'interno della mia Security Onion l'interfaccia di installazione è stata port mirroring, ma tutti gli avvisi che ho visto mostra l'IP di origine della nostra rete locale, sia privata che pubblica.
Sono riuscito a vedere gli IP esterni nei dati Elsa e Squert Pads, ma non negli avvisi di snorby. Questo mi sembra un po 'strano, dato che c'è stato un tentativo DoS noto con un IP esterno. Anche il mio BPF non sta fermando nessun IP esterno. Mi chiedo se qualcuno potrebbe aiutarmi a capire le possibili ragioni di un simile comportamento?
Le seguenti sono le mie regole BPF:
$ cat /etc/nsm/rules/bpf.conf
!(dst portrange 11000-65000) &&
!(src net 10.20.30.0/23) &&
!(src net 208.80.43.131)&&
!(src net 208.80.43.39)