Recientemente instalé la distribución Security Onion para Ubuntu.
Esta distribución hace un gran trabajo al combinar múltiples herramientas como snort / suricata, sguil, snorby, elsa, bro ids, squert, etc. Dentro de mi Security Onion, la interfaz de instalación se ha duplicado en el puerto, pero todas las alertas que he visto Muestra la IP de origen de nuestra red local, tanto privada como pública.
Pude ver IPs externas en datos de elsa y squert pads, pero no en las alertas snorby. Esto me parece un poco extraño, ya que ha habido un intento conocido de DoS con una IP externa. Mi BPF tampoco detiene ninguna IP externa. Me pregunto si alguien podría ayudarme a comprender las posibles razones de tal comportamiento.
Las siguientes son mis reglas de BPF:
$ cat /etc/nsm/rules/bpf.conf
!(dst portrange 11000-65000) &&
!(src net 10.20.30.0/23) &&
!(src net 208.80.43.131)&&
!(src net 208.80.43.39)