Chcę wykonać kopię lustrzaną całego ruchu (także VPN, WLAN, WAN) z routera konsumenckiego (TPLink WR1043ND v.1.x) na czujnik snort znajdujący się w tej samej sieci, ale bez dodatkowego sprzętu! Dublowanie musi być wykonane przez router (z uruchomionym programem OpenWrt Barrier Breaker).
Mirroring portu WAN routera byłby nawet obsługiwany przez bieżące oprogramowanie , ale dane tego strumienia są dla mnie bezużyteczne , ponieważ nie zawierają wewnętrznych adresów IP urządzeń podłączonych do routera! Chcę dublowany ruch z wnętrza routera ze wszystkimi wewnętrznymi adresami IP.
Więc szybko pomyślałem tcpdump -i any. Ale o ile wiem, nie jest możliwe skonfigurowanie „tcpdump” do przesyłania strumieniowego ruchu lustrzanego bezpośrednio do czujnika snort? (bez generowania i zapisywania ogromnych plików pcap na dysku twardym)?
Jak to rozwiązać?
Dodatek: czy to zadziała z użyciem iptables --teeopcji dublowania całego ruchu? Myślę, że musiałbym zainstalować to ipkg „ Rozszerzenia iptables TEE ” lub ten ipkg „ Moduły jądra dla TEE ” z repozytorium OpenWRT? Czy to zadziała, czy potrzebuję czegoś innego?
Odpowiedzi:
Tak iptables TEE działa. Mam router tplink i dubluję ruch dokładnie z tego samego powodu co ty.
Zainstaluj wszystkie niezbędne moduły i pakiety dla TEE.
Zakładając, że monitorowany adres IP to
10.1.1.205:źródło
Dostępna jest łatka dla OpenWrt, która umożliwia tworzenie kopii lustrzanych portów na twoim sprzęcie, choć przeszła tylko ograniczone testy. Oczywiście możesz sam go zastosować i przetestować.
źródło
Można teraz skonfigurować dublowanie portów w OpenWrt poprzez konfigurację Switch. Można to zrobić za pomocą interfejsu internetowego OpenWrt (LuCI), przechodząc do menu Sieć- > Przełącz, a następnie włączając opcję „Włącz dublowanie przychodzących pakietów” i / lub „Włącz dublowanie wychodzących pakietów” i ustawiając pożądane interfejsy. W przeciwnym razie można to osiągnąć, edytując sekcję przełącznika sieciowego pliku konfiguracyjnego (
/etc/config/network).źródło