web-dev-qa-db-ja.com

Raspberry Pi IDSをホームルーターに接続して侵入ネットワーク全体を検出する方法は?

別のマシンでELKスタックを使用してRaspberry Pi IDS/IPSを構成しています。私の問題は、ネットワーク全体のトラフィックを読み取ってドロップできるようにルーターに接続することです。疑わしいパケット

私が思いついた方法は、Piをネットワークゲートウェイとして構成するイーサネット経由でルーターに接続することですおよびすべてのデバイスを強制します。より良い解決策があるかと思っていました。

4
Vidura supun

ネットワーク全体をパッシブに監視したい場合は、ルーターなどのモニターポートで十分です。ただし、ほとんどの一般的なホームルーター(WLANおよびケーブル/ DSLモデムが組み込まれているルーター)には、このようなものはありません。

データを監視し、トラフィックをアクティブにブロックする場合は、IDSがトラフィックのパスにある必要があります。つまり、内部ネットワーク内のすべてのシステムのゲートウェイとして設定してからトラフィックをルーターに転送する必要があるか、ルーターはゲートウェイのままですが、IDSはルーターとISPの間にあります。後者の場合、RaspiはISP接続にも注意を払う必要があります。つまり、Raspiには物理的な機能(DSL、ケーブル、またはFFTHモデムが必要な場合があります)が必要です。ログイン情報は、PPPoEまたはISPなどに必要な任意のプロトコルを話すことができます。

したがって、Raspiをネットワークゲートウェイとして設定するという現在のアイデアは、おそらく最も簡単に実装できる方法です。ただし、コメントに Josef と記載されているように、ゲートウェイを変更するだけでユーザーがIDSをバイパスできないように設定する必要があります。これは、Raspiの背後にルーター/モデムを物理的に配置して、内部システムが直接到達できないようにすることで、ルーター/モデムからインターネットへの内部システムへの唯一の方法は、Raspiを経由することで実現できます。

6
Steffen Ullrich