Odzwierciedlasz cały ruch routera (openwrt) do czujnika snort?

15

Chcę wykonać kopię lustrzaną całego ruchu (także VPN, WLAN, WAN) z routera konsumenckiego (TPLink WR1043ND v.1.x) na czujnik snort znajdujący się w tej samej sieci, ale bez dodatkowego sprzętu! Dublowanie musi być wykonane przez router (z uruchomionym programem OpenWrt Barrier Breaker).

Mirroring portu WAN routera byłby nawet obsługiwany przez bieżące oprogramowanie , ale dane tego strumienia są dla mnie bezużyteczne , ponieważ nie zawierają wewnętrznych adresów IP urządzeń podłączonych do routera! Chcę dublowany ruch z wnętrza routera ze wszystkimi wewnętrznymi adresami IP.

Więc szybko pomyślałem tcpdump -i any. Ale o ile wiem, nie jest możliwe skonfigurowanie „tcpdump” do przesyłania strumieniowego ruchu lustrzanego bezpośrednio do czujnika snort? (bez generowania i zapisywania ogromnych plików pcap na dysku twardym)?

Jak to rozwiązać?


Dodatek: czy to zadziała z użyciem iptables --teeopcji dublowania całego ruchu? Myślę, że musiałbym zainstalować to ipkg „ Rozszerzenia iptables TEE ” lub ten ipkg „ Moduły jądra dla TEE ” z repozytorium OpenWRT? Czy to zadziała, czy potrzebuję czegoś innego?

użytkownik3200534
źródło
1
To dobre pytanie i jestem ciekawy odpowiedzi. Głosowałem za przeniesieniem go do Superuser, ponieważ mają większe doświadczenie z sprzętem konsumenckim i alternatywnym oprogramowaniem, takim jak OpenWRT.
EEAA

Odpowiedzi:

4

Tak iptables TEE działa. Mam router tplink i dubluję ruch dokładnie z tego samego powodu co ty.

Zainstaluj wszystkie niezbędne moduły i pakiety dla TEE.

Zakładając, że monitorowany adres IP to 10.1.1.205:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
Metos
źródło
3

Dostępna jest łatka dla OpenWrt, która umożliwia tworzenie kopii lustrzanych portów na twoim sprzęcie, choć przeszła tylko ograniczone testy. Oczywiście możesz sam go zastosować i przetestować.

Michael Hampton
źródło
Nawiązałem do tej funkcji w swoim pytaniu. Problem polega na dublowaniu portu WAN - dostajesz tylko publiczny router IP i IP serwera docelowego. Chcę jednak, aby wewnętrzne adresy IP klientów i ich dokładne połączenia zasilały czujnik snort.
user3200534
Jeśli chcesz wykonać kopię lustrzaną innego portu, musisz wybrać ten port!
Michael Hampton
Tak, możesz wybrać 1-4 gniazda LAN (porty). Brak WLan! Brak VPN! Tylko et-porty z tyłu urządzenia lub portu 0 (= WAN). To bardzo daleko od całego ruchu routera.
user3200534
Hmm Nie sądzę, że możesz odwzorować cały ruch. Jest to przecież funkcja przełącznika sprzętowego . Na przykład nie będziesz otrzymywać ruchu w sieci WLAN ani ruchu na interfejsach wirtualnych. Jednak ktoś w podobnej sytuacji może uznać to za przydatne.
Michael Hampton
czy możesz podzielić się szczegółami, w jaki sposób zastosujesz tę łatkę?
AK_
0

Można teraz skonfigurować dublowanie portów w OpenWrt poprzez konfigurację Switch. Można to zrobić za pomocą interfejsu internetowego OpenWrt (LuCI), przechodząc do menu Sieć- > Przełącz, a następnie włączając opcję „Włącz dublowanie przychodzących pakietów” i / lub „Włącz dublowanie wychodzących pakietów” i ustawiając pożądane interfejsy. W przeciwnym razie można to osiągnąć, edytując sekcję przełącznika sieciowego pliku konfiguracyjnego ( /etc/config/network).

Pierz
źródło