Dada a configuração do wifi doméstico (WPA2) abaixo, posso ver todo o tráfego da rede interna para o 'Net back (tráfego norte e sul).
Eu uso wlan0 para ssh na rede local. Eu corro o suricata como o IDS no Raspberry Pi e envio logs para a nuvem. A vida é boa.
Estou querendo ver e registrar as conexões leste-oeste de um cliente wi-fi interno1 para um cliente wi-fi interno2. Meu roteador wi-fi não fornece isso.
Eu tenho outra placa wlan pensando que no modo monitor isso resolveria, mas acredito que não conseguirei descriptografar o tráfego a menos que seja associado ao SSID (tentei - não vi nada além de quadros de gerenciamento no tcpdump).
Eu também tentei o modo promíscuo w/wlan1 (confirmado PROMISC em ifconfig) pensando que ele está associado ao SSID, portanto, faria o truque (então apenas deixaria meu IDS/suricata saber sobre o PSK), mas não consegui ver o tráfego além de unicast/broadcast (nenhum dos outros clientes wi-fi).
Este é um apartamento pequeno, mas meus clientes wi-fi (Androids / Chromebooks recentes) estão a menos de 5 pés de distância para teste.
A placa wlan1 no RPi é Panda Wireless PAU05.
Por mais curiosidade, estou fadado a falhar no caminho que disse desejar?
Eu preferiria fazer assim para o enriquecimento acadêmico ou pelo menos aprender por que vou reprovar. IE Estou ciente de BriarIDS e SweetSecurity . Eu também prefiro não gastar muito dinheiro em um roteador de última geração e quero continuar consertando.
> +-------------------+ |
> | | Cable Modem | |
> +----+--------------+ |
> |
> |
> |
> +<------Anonymous Ethernet bridge:Eth0 (No IP)--+
> |
> +-----+
> | |
> | Pi |
> | |XXXXXXXXXXX..Wlan0..Wifi Signal..XXXXXX
> +----++ XX
> | XX
> +<-----------AEB:--Eth1 (No IP)--+ XX
> | XX
> +---+---------------------------+ XXX
> | (DMZ port has the ISP IP) | XXX
> | | XX
> | Wirleless Router -TP Link |XX
> | |
> | (internal ports) |
> +-------------------------------+
> |
> |
> +------------------------+
> | Internal wired pc, etc.|
> +------------------------+
O modo monitor é o que você precisa, mas a capacidade de descriptografar o tráfego WPA2-PSK de outros dispositivos não tem nada a ver com ingressar na rede. Tudo o que você precisa é o PSK (ou a frase secreta e o SSID, do qual você pode derivar o PSK) e o handshake de 4 vias WPA2 de quando o dispositivo de destino se conecta à rede.
Você também precisa da placa sem fio do farejador para oferecer suporte a todos os recursos relacionados à velocidade do hardware sem fio no AP e no dispositivo de destino. Porque se, digamos, o AP e o dispositivo de destino fizerem 802.11ac, e sua placa sniffer fizer apenas 802.11n e abaixo, o sniffer não poderá observar nenhum pacote que o AP e o dispositivo de destino trocam usando 802.11ac específico esquemas de modulação e codificação (MCSes). Além dos padrões relacionados à velocidade 802.11 compatíveis (a/b/g/n/ac) e MCSes compatíveis, você também deve considerar os fluxos espaciais compatíveis (1x1, 2x2, 3x3 etc.) e as larguras de canal compatíveis (20/40/80 /160MHz).