ruteo interno "virtual" para snort

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
Nenes

estoy haciendo pruebas con snort pero en maquina virtual , el asunto es si puedo de alguna forma desviar (mirror me imagino) todo el trafico de la red lan que pasa por el switch core (fortinet ) y tirarlo por alguna vlan hacia la vm de snort

es posible ?
 

pitzyper

Online
Se incorporó
4 Agosto 2009
Mensajes
742
Nenes

estoy haciendo pruebas con snort pero en maquina virtual , el asunto es si puedo de alguna forma desviar (mirror me imagino) todo el trafico de la red lan que pasa por el switch core (fortinet ) y tirarlo por alguna vlan hacia la vm de snort

es posible ?

Intenté usar Snort pero no quise hacer que todo mi tráfico pasara por una máquina virtual que podía sumar latencia.

La idea sería que usaras el server de Snort casi como router, para pasar todo el tráfico por ahí. Lo dejas directo al router, le activas el IP forwarding y así lo usas como gateway, todos tus equipos de la red los apuntas a la IP de la VM, así pasan a través de la misma. Esa es la forma más "simple" de hacerlo que he encontrado.

Saludos
 
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
Intenté usar Snort pero no quise hacer que todo mi tráfico pasara por una máquina virtual que podía sumar latencia.

La idea sería que usaras el server de Snort casi como router, para pasar todo el tráfico por ahí. Lo dejas directo al router, le activas el IP forwarding y así lo usas como gateway, todos tus equipos de la red los apuntas a la IP de la VM, así pasan a través de la misma. Esa es la forma más "simple" de hacerlo que he encontrado.

Saludos
si claro , es una forma quizas , pero quiero que solo escuche y analize el trafico , al menos con wireshark y un switch cisco l3 conectando a una puerta y configurarndo port mirror en esa puerta , el switch copia el trafico saliente y entrante tambien a esa puerta

pero ahora el tema que es una maquina virtual
 
Upvote 0

pitzyper

Online
Se incorporó
4 Agosto 2009
Mensajes
742
si claro , es una forma quizas , pero quiero que solo escuche y analize el trafico , al menos con wireshark y un switch cisco l3 conectando a una puerta y configurarndo port mirror en esa puerta , el switch copia el trafico saliente y entrante tambien a esa puerta

pero ahora el tema que es una maquina virtual

Ahh entiendo, igual nunca podrás ver todo el tráfico con Wireshark o TCPdump, al final sólo podrás ver el tráfico del switch al que estés conectado directamente, y claro una VM está conectada virtualmente a un switch virtual creado por el hipervisor en el computador dónde esté corriendo.
 
Upvote 0

kynet

Miembro Activo
Se incorporó
7 Septiembre 2022
Mensajes
25
Nenes

estoy haciendo pruebas con snort pero en maquina virtual , el asunto es si puedo de alguna forma desviar (mirror me imagino) todo el trafico de la red lan que pasa por el switch core (fortinet ) y tirarlo por alguna vlan hacia la vm de snort

es posible ?

y que soft de vm estas usando, alguna vez hice algo asi en labs en vmware, hay un modo que permite usar la maquina con una ip como si fuese un dispositivo mas de la red.
 
Upvote 0

JohnL

Capo
Se incorporó
27 Diciembre 2005
Mensajes
141
Si quieres que Snort funcione debes hacer que el trafico pase por el, no es como correr un sniffer en un puerto en modo port mirror.
 
Upvote 0

pipe9

Fanático
Se incorporó
10 Enero 2020
Mensajes
1.105
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
Si quieres que Snort funcione debes hacer que el trafico pase por el, no es como correr un sniffer en un puerto en modo port mirror.
puede ser ids o ips

imagino q en modo ids solo necesita revisar trafico y no bloquear nada no ?
 
Upvote 0
Subir