Mettre en miroir tout le trafic du routeur (openwrt) vers un capteur de reniflement?

Je veux mettre en miroir tout le trafic (également VPN, WLAN, WAN) d'un routeur grand public (TPLink WR1043ND v.1.x) vers un capteur de reniflement situé dans le même réseau, mais sans matériel supplémentaire! La mise en miroir doit être effectuée par le routeur (exécutant OpenWrt Barrier Breaker).

La mise en miroir du port WAN du routeur serait même prise en charge par le firmware actuel , mais les données de ce flux ne me sont d'aucune utilité , car elles ne contiennent pas les IP internes des appareils connectés au routeur! Je veux le trafic en miroir de l' intérieur du routeur, avec toutes les adresses IP internes.

Alors, j'y ai rapidement pensé tcpdump -i any. Mais à ma connaissance, il n'est pas possible de configurer 'tcpdump' pour diffuser le trafic en miroir directement vers le capteur de snort? (sans générer et enregistrer d'énormes fichiers pcap sur le disque dur)?

Comment résoudre ce problème?

Annexe: Est-ce que cela fonctionnerait avec l' iptables --teeoption de mise en miroir de tout le trafic? Je pense que j'aurais besoin d'installer cet ipkg ' TEE iptables extensions ' ou ce ' Kernel modules for TEE ' à partir du dépôt OpenWRT pour fonctionner? Est-ce que cela fonctionnerait ou ai-je besoin d'autre chose?

openwrt user3200534
la source

C'est une bonne question, et je suis curieux d'entendre des réponses. J'ai voté pour son transfert vers Superuser, car ils sont plus expérimentés avec les équipements grand public et les micrologiciels alternatifs comme OpenWRT.

EEAA

Réponses:

Oui iptables TEE fonctionne. J'ai un routeur tplink et je reflète le trafic exactement pour la même raison que vous.

Installez tous les modules et packages nécessaires pour TEE.

En supposant que votre adresse IP de surveillance est 10.1.1.205, exécutez:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

Methos
la source

Un correctif pour OpenWrt pour activer la mise en miroir des ports sur votre matériel est disponible, bien qu'il n'ait reçu que des tests limités. Vous pouvez bien sûr appliquer et tester vous-même.

Michael Hampton
la source

J'ai fait référence à cette fonctionnalité dans ma question. Le problème est lors de la mise en miroir du port WAN - vous n'obtenez que l'IP du routeur public et l'IP du serveur de destination. Mais je veux que les adresses IP internes des clients et leurs connexions exactes alimentent le capteur de snort.

user3200534

Si vous souhaitez mettre en miroir un port différent, vous devez sélectionner ce port!

Michael Hampton

Oui, vous pouvez choisir entre 1 à 4 emplacements LAN (ports). Pas de WLAN! Pas de VPN! Seuls les ports eth à l'arrière de l'appareil ou le port 0 (= WAN). C'est très loin de tout le trafic du routeur.

user3200534

Hmm. Je ne pense pas que vous puissiez refléter tout le trafic. C'est, après tout, une fonction du commutateur matériel . Ainsi, vous n'obtiendrez pas de trafic WLAN, par exemple, ni de trafic sur des interfaces virtuelles. Cependant, quelqu'un d'autre dans une situation similaire peut trouver cela utile.

Michael Hampton

pouvez-vous partager les détails comment appliquer ce patch?

AK_

Il est désormais possible de configurer la mise en miroir des ports sur OpenWrt via la configuration du commutateur. Cela peut être fait à l'aide de l'interface Web OpenWrt (LuCI) en allant dans le menu Réseau-> Commutateur puis en activant `` Activer la mise en miroir des paquets entrants '' et / ou `` Activer la mise en miroir des paquets sortants '' et en définissant les interfaces souhaitées. Sinon, cela peut être réalisé en modifiant la section switch du fichier de configuration réseau ( /etc/config/network).

Pierz
la source