Lede, un sistema operativo de GNU/Linux para routers y Suricata, un IDS para el análisis de los paquetes de la red en busca de acciones malintencionadas en la red, pueden comprenetarse para realizar un análisis continuo en las redes de casa.
IMPORTANTE: Todos los comandos y configuraciones se realizaron en un dispositivo Linksys wrt1900acsv2 con Lede 17.01.4 y una Raspberry pi 2 B* con Raspbian Stretch y Suricata 4.1.2.
Una vez tengamos preparados un dipositivo con Lede y un dispositivo con suricata pasaremos a realizar la configuración para que nuestro router Lede envíe los paquetes de la red al suricata, esta técnica suele llamarse port mirroring, pero en este caso vamos a utilizar un módulo de iptables llamado tee. Este módulo realiza un clonado del trafico de red hacia una IP.
1- Instalar los paquetes necesario en LEDE
Desde el usuario root ejecutaremos este comando.
opkg update
opkg install iptables-mod-tee
2- Configuración de iptables
Una vez instalado correctamente podemos pasar a configurar iptables para clonar el tráfico. Lo primero que debemos saber es la IP del dispositivo con el suricata instalado, una vez lo sepamos podemos ejecutar los siguientes comandos en el Lede.
iptables -I PREROUTING -t mangle -i br-lan -j TEE --gateway 192.168.0.150
iptables -I POSTROUTING -t mangle -j TEE --gateway 192.168.0.150
La ip "192.168.0.150" debe ser modificada por la que tengas en tu dispositivo con suricata. El interfaz, en este caso "br-lan", es el interfaz desde donde vamos a clonar el tráfico y enviarlo al Suricata, en este caso es la interfaz bridge que recoge todo el tráfico de los distintos dispositivos conectados a la red.
3- Comprobar que todo funciona
Para comprobar que llegan los datos correctamente podemos ejecutar el siguiente comando en el dispositivo con Suricata:
tcpdump -i eth0
El interfaz "eth0" se debe cambiar por el que debería recibir los datos en el Suricata. Si todo funciona correctamente deberías de ver el tráfico de los distintos dispositivos de la red con sus IPs.
De esta forma ya puede poner en marcha el Suricata y empezar a analizar el tráfico.