¡Quiero reflejar todo el tráfico (también VPN, WLAN, WAN) desde un enrutador de consumidor (TPLink WR1043ND v.1.x) a un sensor snort ubicado en la misma red, pero sin hardware adicional! La duplicación debe ser realizada por el enrutador (ejecutando OpenWrt Barrier Breaker).
¡Duplicar el puerto WAN del enrutador incluso sería compatible con el firmware actual , pero los datos de esta transmisión son inútiles para mí, ya que no contienen las IP internas de los dispositivos conectados al enrutador! Quiero el tráfico reflejado desde el interior del enrutador, con todas las IP internas.
Entonces, rápidamente pensé en eso tcpdump -i any
. Pero, que yo sepa, ¿no es posible configurar 'tcpdump' para transmitir el tráfico reflejado directamente al sensor snort? (sin generar y guardar enormes archivos pcap en el disco duro)?
¿Cómo puedo solucionar esto?
Apéndice: ¿Funcionaría esto con el uso de la iptables --tee
opción de duplicar todo el tráfico? Creo que necesitaría instalar este ipkg ' TEE iptables extensiones ' o este ' Kernel modules for TEE ' ipkg desde el repositorio de OpenWRT para que funcione. ¿Funcionaría o necesito algo más?
Respuestas:
Sí. Iptables TEE funciona. Tengo un enrutador tplink y estoy reflejando el tráfico exactamente por la misma razón que usted.
Instale todos los módulos y paquetes necesarios para TEE.
Suponiendo que su dirección IP de monitoreo es
10.1.1.205
, ejecute:fuente
Está disponible un parche para OpenWrt para habilitar la duplicación de puertos en su hardware, aunque solo ha recibido pruebas limitadas. Por supuesto, puede solicitarlo y probarlo usted mismo.
fuente
Ahora es posible configurar la duplicación de puertos en OpenWrt a través de la configuración del Switch. Esto puede hacerse usando la interfaz web OpenWrt (LuCI) yendo al menú Red-> Cambiar y luego habilitando 'Activar duplicación de paquetes entrantes' y / o 'Activar duplicación de paquetes salientes' y configurando las interfaces deseadas. De lo contrario, esto se puede lograr editando la sección del interruptor del archivo de configuración de red (
/etc/config/network
).fuente