Xen + Snort
Salut à tous,
On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif2.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
....
....
L'interface qui m'intéresse est eth0 (DMZ) :
eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?
J'espère avoir clair dans mes explications..
Merci pour vos lumières.
Reply to: