Eu tenho uma pergunta novata em relação ao roteamento e pontos de acesso wi-fi.
Plano de fundo
Eu tenho um switch principal (cisco catalyst 2950) que fica atrás do meu roteador / firewall. Nesse switch eu tenho um IDS (snort) escutando em uma porta span, que está espelhando todo o tráfego que entra e sai da rede. Eu também tenho um roteador wifi Linksys WRT54G provando serviço sem fio cuja porta "internet" também está conectada ao switch.
A rede é segmentada em duas sub-redes, x.x.1.1 / 24 para a parte com fio da rede e x.x.2.1 / 24 fornecida pelo linksys ap para a rede sem fio.
Problema
Meu problema é que ao revisar alertas do snort, qualquer tráfego da rede xx1.1 pode ser atribuído à máquina real por trás da minha rede, mas o tráfego proveniente de uma máquina no meu roteador Wi-Fi tem uma fonte (ou destino) ip de o próprio AP.
Agora, eu entendo que isso acontece porque o roteador wifi é um roteador e, como tal, está agindo exatamente como ele é projetado.
Pergunta
Eu preciso fornecer acesso sem fio, mas fornecer a visão do IDS sobre as máquinas de origem / destino reais na rede sem fio. Mas não tenho certeza se é possível. Existe um recurso / tecnologia / modo que pode ser encontrado em roteadores wifi que me permitirão estender a rede x.x.1.1? Preciso substituir o roteador wifi por algum outro equipamento wifi?
Opções consideradas
Eu olhei para as seguintes opções:
Abrangendo uma porta do roteador Wi-Fi para monitorar o tráfego na rede x.x.2.1 / 24. Meu atual roteador wifi não oferece capacidade de extensão / espelhamento e não parece suportar imagens de firmware modificadas.
Colocar o roteador wifi em algum "modo" que permita não "direcionar" o tráfego. Meu hardware atualmente possui um modo de gateway e um modo de roteador. Ambos os modos parecem causar o mesmo problema. Existe outro "modo" que pode estar disponível em outros pontos de acesso wi-fi do consumidor?
Comprando uma peça de hardware que não roteia o tráfego, mas fornece acesso sem fio? Isso existe mesmo?
Eu entendo que esta é uma questão complexa com informações imperfeitas. Uma resposta completa seria fantástica, mas algo que me coloca no caminho certo seria mais do que suficiente. Obrigado por ler até o fim!
Você tem duas LANs em vez de uma. A menos que você tenha feito isso por algum motivo, altere-o para que você tenha apenas uma LAN.
Desative o servidor DHCP do WRT54G. Uma LAN só precisa de um servidor DHCP.
Conecte uma das portas LAN do WRT54G a uma das 2950 portas. Desconecte a porta Internet / WAN - este roteador será conectado apenas à sua LAN.
Deixe que qualquer dispositivo conectado ao WRT54G obtenha novos endereços IP do roteador na sua LAN.
Se o tráfego do seu AP tiver o endereço IP do AP, ele estará fazendo mais do que roteamento: parece que é NATting. Em outras palavras, os endereços que fornecem aos clientes sem fio são privados para essa rede e são todos traduzidos para um único endereço pelo AP.
Eu não tenho um WRT54G, mas pelo que sei, acho que você não pode desabilitar o NAT sem perder sua funcionalidade de servidor DHCP. Por outro lado, você tem a sorte de possuir um AP bem suportado por firmware de terceiros. Se você puder instalar o firmware do DD-WRT (ou de um dos outros projetos), terá muito mais controle sobre o seu dispositivo.