Usando uma caixa Linux em uma configuração de ponte ou roteador para monitoramento / análise de rede / segurança

Navegue suas respostas
0

Meu objetivo era adicionar uma caixa entre dois roteadores para poder monitorar e analisar o tráfego de rede, usá-lo como um servidor syslog para ambos os roteadores e enviar alertas quando apropriado. Embora o uso de um hub repetidor antigo provavelmente realize o que desejo mais facilmente, não consegui encontrar um para a compra.

Com base nas dicas do wiki do Wireshark, eu configurei uma caixa do Linux como uma ponte, adicionando a interface br, definindo endereços IP eth0 / 1 a 0.0.0.0, e atualizando as interfaces novamente. Mas percebi rapidamente no processo que a configuração não me dava nenhuma interface de rede que eu pudesse usar para o serviço de log, e não tenho certeza se posso executar o snort ou outras ferramentas de monitoramento em uma interface br0. Eu posso testar o último, mas antes de passar tempo fazendo isso:

  1. Estou faltando alguma coisa no meu entendimento de rede sobre a configuração de uma ponte que permitiria que eu também atribuísse endereços às interfaces eth0 / 1? (Se eu estiver interpretando este post de troca de pilha corretamente, eu acredito que a resposta é não.
  2. Se, na verdade, eu não puder configurar essa caixa para realizar minha meta enquanto estiver configurada como uma ponte, existem maneiras de realizar isso além de definir a caixa como um roteador?
  3. Ou, configurá-lo como um roteador geral é a melhor abordagem se eu não conseguir encontrar um hub repetidor (e eu não tenho um switch capaz de espelhamento de porta)?
por tim.rohrer 10.09.2016 / 02:57

1 resposta

1

Primeiro, você não define eth0 & eth1 para 0.0.0.0, você não atribui um endereço IP. (Mas talvez o seu 0.0.0.0 seja tratado como sem IP, não tenho certeza - nunca tentei). Você então atribui um endereço IP à ponte. 

# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
    inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
       valid_lft forever preferred_lft forever
    inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link 
       valid_lft forever preferred_lft forever

# brctl show
bridge name     bridge id               STP enabled     interfaces
lan-br          8000.XXXXXXXXXXXX       no              eth0

Atualmente, minha bridge possui apenas um dispositivo (eth0), ela existe para interligar máquinas virtuais (e nenhuma delas está atualmente em execução). Claro que você teria eth0 e eth1.

Você deve ter snort monitor br, eth0 ou eth1. O tráfego está fluindo nos três. Um teste rápido com tcpdump -n -i br deve confirmar isso para você.

    
por 10.09.2016 / 06:44

Tags

inittab não está reiniciando o serviço após falha do serviço no Red Hat 6.7 Janelas que não são de tela inteira no matchbox-wm