Come rispecchiare in modo sicuro il traffico di rete per ragioni di controllo?

0

Abbiamo una connessione Internet che dobbiamo controllare:

INTERNET ->> ROUTER ->> CLIENTS

la nostra idea sarebbe quella di mettere un HUB (abbastanza grande) prima del router (router, che accede tramite pppoe all'ISP) e su quell'HUB mettere anche una macchina OpenBSD *:

INTERNET ->> HUB ->> ROUTER ->> CLIENTS

* Voglio eseguire a:

tcpdump -i em0 -w out.pcap

sulla macchina OpenBSD (em0 è l'interfaccia collegata all'HUB, -n'indirizzo IP necessario per quell'interfaccia?). Ho scelto OpenBSD dal momento che ha una storia di sicurezza, quindi se c'è un attaccante, non entrerà in tcpdump, dato che tcpdump potrebbe avere delle vulnerabilità e ascolterà l'interfaccia.

La mia domanda : è questa la soluzione perfetta? (no, non mi fido di HW proprietario che può fare "port mirroring")

AGGIORNAMENTO: non vogliamo inserire una regola iptables nel router per inviare tutto il traffico a un server log.

    
posta gasko peter 02.02.2014 - 10:26
fonte

3 risposte

2

In teoria la tua soluzione dovrebbe funzionare bene a livello base con un avvertimento. Dovrai trovare un hub che funzioni alla velocità della tua connessione Internet o superiore. A seconda della velocità della tua connessione Internet potrebbe essere difficile, soprattutto se gli hub sono sempre più difficili da trovare.

Credo che una domanda sia la ragione per cui non ti fidi dell'hardware di mirroring delle porte dedicato, in quanto sarebbe il modo standard per farlo. Puoi impostare una porta su uno switch per eseguire il mirroring oppure utilizzare una rete toccare

    
risposta data 02.02.2014 - 10:39
fonte
0

Funzionerà, ma potrebbe non essere la soluzione perfetta: se stai facendo PPPoE, tutto ciò che acquisisci sarà incapsulato e, a seconda di quanto traffico hai, quel file tcpdump potrebbe diventare piuttosto grande e ingombrante rapidamente. Cosa stai cercando di verificare esattamente? Supponendo che il router stia eseguendo OpenBSD, una soluzione migliore potrebbe trarre vantaggio da pflow (4) insieme a pf (4) e combinarla con la porta nfdump. Inoltre, per quello che vale, non ci sono iptables su OpenBSD.

    
risposta data 08.02.2014 - 10:33
fonte
-1

Hai davvero bisogno di copiare tutto il traffico o semplicemente di registrare la navigazione degli utenti? La maggior parte delle applicazioni ora utilizza SSL. Quindi non puoi vedere cosa fanno in Facebook, Skype e così ..

Penso che tu abbia bisogno di un firewall dell'applicazione. Ti consiglio di leggere sui firewall UTM.

Ma se vuoi veramente copiare tutto il traffico, usa i filtri in tcpdump per "cancellare" la tua cattura, come:

tcpdump -i em0 -s0 'not arp and not icmp and not port 443'

L'opzione -s è per tcpdump non troncare i pacchetti. Alcuni sistemi operativi devi usare -s1512.

    
risposta data 02.02.2014 - 16:55
fonte

Leggi altre domande sui tag