すべてのルータートラフィック(openwrt)をsnortセンサーにミラーリングしますか?
コンシューマルーター(TPLink WR1043ND v.1.x)からすべてのトラフィック(VPN、WLAN、WANも)を、同じネットワーク内にあるが、追加のハードウェアなしのsnortセンサーにミラーリングしたいのですが。ミラーリングはルーター(OpenWrt Barrier Breakerを実行)で行う必要があります。
WANルーターのポート- 現在のファームウェアでもサポートされます ですが、-このストリームのデータは役に立たないのミラーリングそれは内部IPを含まないルーターに接続されているデバイスの!すべての内部IPを使用して、ルーターの内部からのミラーリングされたトラフィックが必要です。
それで、私はすぐにtcpdump -i anyについて考えました。しかし、私の知る限りでは、ミラーリングされたトラフィックを直接snortセンサーにstreamするように「tcpdump」を構成することはできませんか? (膨大なpcapファイルを生成してハードドライブに保存せずに)?
どうすればこれを解決できますか?
付録:これは、すべてのトラフィックをミラーリングするiptables --teeオプションを使用して機能しますか?機能させるには、OpenWRTリポジトリからこの ' TEE iptables extensions ' ipkgまたはこの ' TEEのカーネルモジュール ' ipkgをインストールする必要があると思いますか?これでうまくいくでしょうか、それとも他に何か必要ですか?
はい、iptables TEEは機能します。私にはtplinkルーターがあり、あなたと同じ理由でトラフィックを正確にミラーリングしています。
TEEに必要なすべてのモジュールとパッケージをインストールします。
監視IPアドレスが10.1.1.205、実行:
iptables -A POSTROUTING -t mangle -o br-lan ! -s 10.1.1.205 -j TEE --gateway 10.1.1.205
iptables -A PREROUTING -t mangle -i br-lan ! -d 10.1.1.205 -j TEE --gateway 10.1.1.205
限られたテストしか受けていないが、ハードウェアで OpenWrtがポートミラーリングを有効にするためのパッチ を使用できる。もちろん、自分で適用してテストすることもできます。
スイッチ構成を介してOpenWrtにポートミラーリングを設定できるようになりました。これは、OpenWrt Webインターフェイス(LuCI)を使用してNetwork-> Switch次に、「着信パケットのミラーリングを有効にする」または「発信パケットのミラーリングを有効にする」を有効にし、目的のインターフェースを設定します(「ミラーソースポート」はトラフィックをミラーリングする場所であり、「ミラーモニターポート」はトラフィックをミラーリングする場所ですにミラーリングされます)。
それ以外の場合、これはコマンドラインで ネットワーク構成のスイッチセクションを編集 ファイル(/etc/config/network)。