o roteador wifi está mascarando os endereços IP

4

Eu tenho uma pergunta novata em relação ao roteamento e pontos de acesso wi-fi.

Plano de fundo

Eu tenho um switch principal (cisco catalyst 2950) que fica atrás do meu roteador / firewall. Nesse switch eu tenho um IDS (snort) escutando em uma porta span, que está espelhando todo o tráfego que entra e sai da rede. Eu também tenho um roteador wifi Linksys WRT54G provando serviço sem fio cuja porta "internet" também está conectada ao switch.

A rede é segmentada em duas sub-redes, x.x.1.1 / 24 para a parte com fio da rede e x.x.2.1 / 24 fornecida pelo linksys ap para a rede sem fio.

Problema

Meu problema é que ao revisar alertas do snort, qualquer tráfego da rede xx1.1 pode ser atribuído à máquina real por trás da minha rede, mas o tráfego proveniente de uma máquina no meu roteador Wi-Fi tem uma fonte (ou destino) ip de o próprio AP.

Agora, eu entendo que isso acontece porque o roteador wifi é um roteador e, como tal, está agindo exatamente como ele é projetado.

Pergunta

Eu preciso fornecer acesso sem fio, mas fornecer a visão do IDS sobre as máquinas de origem / destino reais na rede sem fio. Mas não tenho certeza se é possível. Existe um recurso / tecnologia / modo que pode ser encontrado em roteadores wifi que me permitirão estender a rede x.x.1.1? Preciso substituir o roteador wifi por algum outro equipamento wifi?

Opções consideradas

Eu olhei para as seguintes opções:

  1. Abrangendo uma porta do roteador Wi-Fi para monitorar o tráfego na rede x.x.2.1 / 24. Meu atual roteador wifi não oferece capacidade de extensão / espelhamento e não parece suportar imagens de firmware modificadas.

  2. Colocar o roteador wifi em algum "modo" que permita não "direcionar" o tráfego. Meu hardware atualmente possui um modo de gateway e um modo de roteador. Ambos os modos parecem causar o mesmo problema. Existe outro "modo" que pode estar disponível em outros pontos de acesso wi-fi do consumidor?

  3. Comprando uma peça de hardware que não roteia o tráfego, mas fornece acesso sem fio? Isso existe mesmo?

Eu entendo que esta é uma questão complexa com informações imperfeitas. Uma resposta completa seria fantástica, mas algo que me coloca no caminho certo seria mais do que suficiente. Obrigado por ler até o fim!

    
por J.T.S. 04.03.2013 / 17:07

2 respostas

1

Você tem duas LANs em vez de uma. A menos que você tenha feito isso por algum motivo, altere-o para que você tenha apenas uma LAN.

Desative o servidor DHCP do WRT54G. Uma LAN só precisa de um servidor DHCP.

Conecte uma das portas LAN do WRT54G a uma das 2950 portas. Desconecte a porta Internet / WAN - este roteador será conectado apenas à sua LAN.

Deixe que qualquer dispositivo conectado ao WRT54G obtenha novos endereços IP do roteador na sua LAN.

    
por 04.03.2013 / 17:50
1

Se o tráfego do seu AP tiver o endereço IP do AP, ele estará fazendo mais do que roteamento: parece que é NATting. Em outras palavras, os endereços que fornecem aos clientes sem fio são privados para essa rede e são todos traduzidos para um único endereço pelo AP.

Eu não tenho um WRT54G, mas pelo que sei, acho que você não pode desabilitar o NAT sem perder sua funcionalidade de servidor DHCP. Por outro lado, você tem a sorte de possuir um AP bem suportado por firmware de terceiros. Se você puder instalar o firmware do DD-WRT (ou de um dos outros projetos), terá muito mais controle sobre o seu dispositivo.

    
por 04.03.2013 / 17:39