Использование Linux-бокса в конфигурации моста или маршрутизатора для мониторинга и анализа сети / безопасности
Моя цель состояла в том, чтобы добавить коробку между двумя маршрутизаторами, которые у меня есть, чтобы я мог отслеживать и анализировать сетевой трафик, использовать его в качестве сервера системного журнала для обоих маршрутизаторов и при необходимости получать оповещения по электронной почте. Хотя использование старого концентратора ретранслятора, скорее всего, облегчило бы то, что я хочу, я не смог найти его для покупки.
Основываясь на советах из Wireshark wiki, я настроил Linux-сервер в качестве моста, добавив интерфейс br, установив для eth0 / 1 IP-адреса 0.0.0.0 и заново подняв интерфейсы.Но в процессе я быстро понял, что конфигурация не дает мне никаких сетевых интерфейсов, которые я могу использовать для службы регистрации, и я не уверен, что смогу запустить snort или другие инструменты мониторинга для интерфейса br0. Я могу протестировать последнее, но прежде чем я потрачу на это время:
- Я что-то упустил в своем понимании сети о настройке моста, который на самом деле позволил бы мне также назначать адреса для eth0 / 1 интерфейсы? (Если я правильно интерпретирую этот пост об обмене стеками , я считаю, что ответ отрицательный.)
- Если на самом деле я не могу настроить этот блок для достижения моей цели при настройке в качестве моста, есть ли способы для выполнения этого, кроме настройки устройства в качестве маршрутизатора?
- Или настройка его в качестве маршрутизатора в целом является лучшим подходом, если я не могу найти концентратор ретранслятора (и у меня нет коммутатора, способного к зеркалированию портов)?
Во-первых, вы не устанавливаете для eth0 и eth1 значение 0.0.0.0, вместо этого вы вообще не назначаете IP-адрес. (Но, возможно, ваш 0.0.0.0 не будет считаться IP-адресом, не уверен - никогда не пробовал). Затем вы назначаете мосту IP-адрес.
# ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
⋮
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master lan-br state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
3: lan-br: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
inet 192.168.XX.XX/24 brd 192.168.XX.XX scope global lan-br
valid_lft forever preferred_lft forever
inet6 fe80::XXXX:XXXX:XXXX:XXXX/64 scope link
valid_lft forever preferred_lft forever
# brctl show
bridge name bridge id STP enabled interfaces
lan-br 8000.XXXXXXXXXXXX no eth0
У моего моста в настоящее время только одно устройство (eth0), оно существует для подключения виртуальных машин (и ни одно из них в настоящее время не запущено). У вас, конечно, будут и eth0, и eth1.
У вас должна быть возможность иметь snort-монитор br, eth0 или eth1. Трафик идет по всем трем. Быстрый тест с tcpdump -n -i br должен подтвердить это для вас.