Eseguire il mirroring di tutto il traffico del router (openwrt) su un sensore snort?


15

Voglio eseguire il mirroring di tutto il traffico (anche VPN, WLAN, WAN) da un router consumer (TPLink WR1043ND v.1.x) a un sensore snort situato nella stessa rete, ma senza hardware aggiuntivo! Il mirroring deve essere eseguito dal router (con OpenWrt Barrier Breaker).

Il mirroring della porta WAN del router sarebbe persino supportato dal firmware corrente , ma i dati di questo flusso sono inutili per me, perché non contengono gli IP interni dei dispositivi collegati al router! Voglio il traffico speculare dall'interno del router, con tutti gli IP interni.

Quindi, ho pensato rapidamente tcpdump -i any. Ma per quanto ne sappia, non è possibile configurare 'tcpdump' per lo streaming del traffico speculare direttamente sul sensore snort? (senza generare e salvare enormi file pcap sul disco rigido)?

Come lo risolvo?


Appendice: funzionerebbe con l'uso iptables --teedell'opzione che rispecchia tutto il traffico? Penso che dovrei installare questo ipkg ' TEE iptables extensions ' o questo ' Kernel moduli per TEE ' dal repository OpenWRT per funzionare? Funzionerebbe o avrei bisogno di qualcos'altro?


1
Questa è una buona domanda, e sono curioso di sentire delle risposte. Ho votato per il passaggio a Superuser, tuttavia, poiché sono più esperti con attrezzature di consumo e firmware alternativo come OpenWRT.
EEAA

Risposte:


4

Sì iptables TEE funziona. Ho un router tplink e rispondo esattamente al traffico per lo stesso motivo per te.

Installa tutti i moduli e pacchetti necessari per TEE.

Supponendo che l'indirizzo IP di monitoraggio sia 10.1.1.205, eseguire:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

3

È disponibile una patch per OpenWrt per abilitare il mirroring delle porte sull'hardware, sebbene abbia ricevuto solo test limitati. Ovviamente puoi applicarlo e testarlo tu stesso.


Ho fatto riferimento a questa funzione nella mia domanda. Il problema è quando si esegue il mirroring della porta WAN: si ottiene solo l'IP del router pubblico e l'IP del server di destinazione. Ma voglio che gli IP interni dei client e le loro connessioni esatte alimentino il sensore snort.
user3200534,

Se si desidera eseguire il mirroring di una porta diversa, è necessario selezionare quella porta!
Michael Hampton,

Sì, è possibile scegliere tra 1-4 slot LAN (porte). No WLan! Nessuna VPN! Solo eth-port sul retro del dispositivo o porta 0 (= WAN). Questo è molto lontano da tutto il traffico del router.
user3200534,

Hmm. Non penso che tu possa rispecchiare tutto il traffico. Dopotutto, questa è una funzione dell'interruttore hardware . Quindi non otterrai traffico WLAN, ad esempio, o traffico su interfacce virtuali. Qualcun altro in una situazione simile potrebbe trovarlo utile, però.
Michael Hampton,

puoi condividere i dettagli come applicheresti questa patch?
AK_10

0

Ora è possibile impostare il mirroring delle porte su OpenWrt tramite la configurazione dello Switch. Questo può essere fatto utilizzando l'interfaccia Web OpenWrt (LuCI) andando nel menu Rete-> Cambia quindi abilitando 'Abilita il mirroring dei pacchetti in entrata' e / o 'Abilita il mirroring dei pacchetti in uscita' e impostando le interfacce desiderate. Altrimenti ciò può essere ottenuto modificando la sezione switch del file di configurazione di rete ( /etc/config/network).

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.