¿Cómo duplicar de forma segura el tráfico de la red por motivos de auditoría?

0

Tenemos una conexión a Internet que necesitamos auditar:

INTERNET ->> ROUTER ->> CLIENTS

nuestra idea sería colocar un HUB (lo suficientemente grande) antes del enrutador (enrutador, que inicie sesión a través de pppoe en el ISP) y en ese HUB poner también una máquina OpenBSD *:

INTERNET ->> HUB ->> ROUTER ->> CLIENTS

* Quiero ejecutar un:

tcpdump -i em0 -w out.pcap

en la máquina de OpenBSD (¿em0 es la interfaz conectada al HUB, no necesita la dirección IP para esa interfaz?). Elegí OpenBSD ya que tiene un historial de seguridad, por lo que si hay un atacante, no entrará a través de tcpdump, ya que tcpdump podría tener vulnerabilidades, y escucha en la interfaz.

Mi pregunta : ¿es esta la solución perfecta? (No, no confío en el HW propietario que puede hacer "duplicación de puertos")

ACTUALIZACIÓN: No queremos poner una regla de iptables en el enrutador para enviar todo el tráfico a un servidor de registro.

    
pregunta gasko peter 02.02.2014 - 10:26
fuente

3 respuestas

2

En teoría, su solución debería funcionar bien en un nivel básico con una advertencia. Tendrá que encontrar un centro que funcione a la velocidad de su conexión a Internet o superior. Dependiendo de la velocidad de su conexión a Internet, esto puede ser complicado, especialmente si los centros son cada vez más difíciles de encontrar.

Supongo que una pregunta es por qué no confías en el hardware dedicado de duplicación de puertos, ya que esa sería la forma estándar de hacerlo. Ya sea configurando un puerto en un conmutador para que sea reflejado, o utilizando un red tap

    
respondido por el Rоry McCune 02.02.2014 - 10:39
fuente
0

Funcionará, pero puede que no sea la solución perfecta: si está haciendo PPPoE, todo lo que capture se encapsulará y, dependiendo de la cantidad de tráfico que tenga, ese archivo tcpdump podría ser bastante grande y difícil de manejar rápidamente ¿Qué estás tratando de auditar exactamente? Suponiendo que el enrutador también esté ejecutando OpenBSD, una mejor solución aprovecharía pflow (4) junto con pf (4) y combinaría eso con el puerto nfdump. Además, para lo que vale, no hay iptables en OpenBSD.

    
respondido por el Bink 08.02.2014 - 10:33
fuente
-1

¿Realmente necesita copiar todo el tráfico, o simplemente registra la navegación de los usuarios? La mayoría de las aplicaciones están utilizando SSL. Así que no puedes ver lo que hacen en Facebook, Skype y así ...

Creo que necesitas un firewall de aplicación. Te recomiendo leer sobre los firewalls UTM.

Pero si realmente desea copiar todo el tráfico, use los filtros en tcpdump para "borrar" su captura, como:

tcpdump -i em0 -s0 'not arp and not icmp and not port 443'

La opción -s es para tcpdump no para truncar los paquetes. Algunos sistemas operativos tendrás que usar -s1512.

    
respondido por el Hábner Costa 02.02.2014 - 16:55
fuente

Lea otras preguntas en las etiquetas