Espelhando todo o tráfego do roteador (openwrt) para um sensor de ronco?

15

Quero espelhar todo o tráfego (também VPN, WLAN, WAN) de um roteador de consumidor (TPLink WR1043ND v.1.x) para um sensor snort localizado na mesma rede, mas sem hardware extra! O espelhamento deve ser feito pelo roteador (executando o OpenWrt Barrier Breaker).

O espelhamento da porta WAN do roteador seria suportado pelo firmware atual , mas os dados desse fluxo são inúteis para mim, porque não contêm os IPs internos dos dispositivos conectados ao roteador! Quero o tráfego espelhado de dentro do roteador, com todos os IPs internos.

Então, eu pensei rapidamente tcpdump -i any. Mas, pelo que sei, não é possível configurar o 'tcpdump' para transmitir o tráfego espelhado diretamente ao sensor do snort? (sem gerar e salvar enormes arquivos pcap no disco rígido)?

Como eu resolvo isso?

Apêndice: Isso funcionaria com o uso da iptables --teeopção de espelhamento de todo o tráfego? Eu acho que precisaria instalar este ipkg ' TEE iptables extensions ' ou este 'kg modules for TEE ' ipkg no repositório OpenWRT para funcionar? Isso funcionaria ou preciso de outra coisa?

openwrt user3200534
fonte
11
Esta é uma boa pergunta e estou curioso para ouvir qualquer resposta. Eu votei para que ele fosse transferido para o Superusuário, pois eles têm mais experiência com equipamentos de consumo e firmware alternativo como o OpenWRT.
EEAA

Respostas:

4

Sim iptables TEE funciona. Eu tenho um roteador tplink e estou refletindo o tráfego exatamente pelo mesmo motivo que você.

Instale todos os módulos e pacotes necessários para o TEE.

Supondo que seu endereço IP de monitoramento seja 10.1.1.205, execute:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
Methos
fonte
3

Está disponível um patch para o OpenWrt para habilitar o espelhamento de portas no seu hardware, embora tenha recebido apenas testes limitados. Você pode, é claro, aplicar e testar você mesmo.

Michael Hampton
fonte
Eu me referi a esse recurso na minha pergunta. O problema é ao espelhar a porta WAN - você obtém apenas o IP e o roteador público do servidor de destino. Mas quero que os IPs internos dos clientes e suas conexões exatas alimentem o sensor de ronco.
User3200534
Se você deseja espelhar uma porta diferente, precisará selecionar essa porta!
Michael Hampton
Sim, você pode escolher entre 1 a 4 slots da LAN (portas). No WLan! Sem VPN! Somente portas eth na parte traseira do dispositivo ou porta 0 (= WAN). Isso está muito longe de todo o tráfego do roteador.
User3200534
Hmm. Eu não acho que você pode espelhar todo o tráfego. Afinal, isso é uma função da chave de hardware . Portanto, você não receberá tráfego WLAN, por exemplo, ou tráfego em interfaces virtuais. Alguém mais em uma situação semelhante pode achar isso útil, no entanto.
Michael Hampton
você pode compartilhar detalhes como você aplicaria esse patch?
AK_
0

Agora é possível configurar o espelhamento de porta no OpenWrt através da configuração do Switch. Isso pode ser feito usando a interface da web OpenWrt (LuCI), indo ao menu Rede-> Alternar e habilitando 'Ativar espelhamento de pacotes de entrada' e / ou 'Ativar espelhamento de pacotes de saída' e configurando as interfaces desejadas. Caso contrário, isso pode ser conseguido editando a seção de opção do arquivo de configuração de rede ( /etc/config/network).

Pierz
fonte