Tenemos una conexión a Internet que necesitamos auditar:
INTERNET ->> ROUTER ->> CLIENTS
nuestra idea sería colocar un HUB (lo suficientemente grande) antes del enrutador (enrutador, que inicie sesión a través de pppoe en el ISP) y en ese HUB poner también una máquina OpenBSD *:
INTERNET ->> HUB ->> ROUTER ->> CLIENTS
* Quiero ejecutar un:
tcpdump -i em0 -w out.pcap
en la máquina de OpenBSD (¿em0 es la interfaz conectada al HUB, no necesita la dirección IP para esa interfaz?). Elegí OpenBSD ya que tiene un historial de seguridad, por lo que si hay un atacante, no entrará a través de tcpdump, ya que tcpdump podría tener vulnerabilidades, y escucha en la interfaz.
Mi pregunta : ¿es esta la solución perfecta? (No, no confío en el HW propietario que puede hacer "duplicación de puertos")
ACTUALIZACIÓN: No queremos poner una regla de iptables en el enrutador para enviar todo el tráfico a un servidor de registro.