Den gesamten Routerverkehr (openwrt) auf einen Schnupfsensor spiegeln?

Ich möchte den gesamten Datenverkehr (auch VPN, WLAN, WAN) von einem Consumer-Router (TPLink WR1043ND v.1.x) auf einen Snort-Sensor spiegeln, der sich im selben Netzwerk befindet, jedoch ohne zusätzliche Hardware! Die Spiegelung muss vom Router durchgeführt werden (mit OpenWrt Barrier Breaker).

Das Spiegeln des WAN-Ports des Routers würde sogar von der aktuellen Firmware unterstützt , aber die Daten dieses Streams sind für mich nutzlos , da sie nicht die internen IPs der an den Router angeschlossenen Geräte enthalten ! Ich möchte den gespiegelten Datenverkehr im Router mit allen internen IP-Adressen.

Also habe ich schnell darüber nachgedacht tcpdump -i any. Aber meines Wissens ist es nicht möglich, configure ‚tcpdump‘ streamen die gespiegelte Verkehr zum Schnauben Sensor direkt? (ohne riesige pcap-dateien zu generieren und auf der festplatte zu speichern)?

Wie löse ich das?

Anhang: Funktioniert dies mit der Verwendung der iptables --teeOption zum Spiegeln des gesamten Datenverkehrs? Ich denke, ich müsste dieses ' TEE iptables extensions ' ipkg oder dieses ' Kernel modules for TEE ' ipkg aus dem OpenWRT-Repository installieren, um zu funktionieren? Würde das funktionieren oder brauche ich noch etwas?

openwrt

— user3200534
quelle

Dies ist eine gute Frage, und ich bin gespannt auf Antworten. Ich habe dafür gestimmt, dass es auf Superuser verschoben wird, da sie mehr Erfahrung mit Consumer-Geräten und alternativer Firmware wie OpenWRT haben.

— EEAA

Antworten:

Ja, iptables TEE funktioniert. Ich habe einen Tplink-Router und spiegele den Datenverkehr genau aus dem gleichen Grund wie Sie.

Installieren Sie alle erforderlichen Module und Pakete für TEE.

Angenommen, Ihre Überwachungs-IP-Adresse lautet 10.1.1.205:

iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205

iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205

— Methos
quelle

Ein Patch für OpenWrt zur Aktivierung der Portspiegelung auf Ihrer Hardware ist verfügbar, wurde jedoch nur in begrenztem Umfang getestet. Sie können es natürlich auch selbst anwenden und testen.

— Michael Hampton
quelle

Ich habe in meiner Frage auf dieses Feature verwiesen. Das Problem ist, dass Sie beim Spiegeln des WAN-Ports nur die IP-Adresse des öffentlichen Routers und die IP-Adresse des Zielservers erhalten. Ich möchte jedoch, dass die internen IP-Adressen der Clients und ihre genauen Verbindungen den Schnupfsensor mit Strom versorgen.

— user3200534

Wenn Sie einen anderen Port spiegeln möchten, müssen Sie diesen Port auswählen!

— Michael Hampton

Ja, Sie können zwischen 1-4 LAN-Steckplätzen (Ports) wählen. Kein WLan! Kein VPN! Nur eth-Ports auf der Rückseite des Geräts oder Port 0 (= WAN). Das ist sehr weit vom gesamten Verkehr des Routers entfernt.

— user3200534

Hmm. Ich glaube nicht, dass Sie den gesamten Verkehr spiegeln können. Dies ist schließlich eine Funktion des Hardware-Schalters . So erhalten Sie beispielsweise keinen WLAN-Datenverkehr oder Datenverkehr auf virtuellen Schnittstellen. Jemand anderes in einer ähnlichen Situation mag dies jedoch nützlich finden.

— Michael Hampton

Kannst du Details teilen, wie würdest du diesen Patch anwenden?

— AK_

Es ist nun möglich, die Portspiegelung in OpenWrt über die Switch-Konfiguration einzurichten. Dies kann entweder über die OpenWrt-Webschnittstelle (LuCI) erfolgen, indem Sie im Menü Netzwerk-> Switch die Option 'Spiegelung eingehender Pakete aktivieren' und / oder 'Spiegelung ausgehender Pakete aktivieren' aktivieren und die gewünschten Schnittstellen festlegen . Andernfalls kann dies durch Bearbeiten des Switch-Abschnitts der Netzwerkkonfigurationsdatei ( /etc/config/network) erreicht werden.

— Pierz
quelle