Re: Xen + Snort
Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.
D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.
Cordialement,
JB
Cornichon a écrit :
> Salut à tous,
>
> On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
> Sur la machine dom0, voici le début la chaine forward (par défaut) :
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
> match --physdev-in vif1.0
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
> match --physdev-in vif1.1
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
> match --physdev-in vif2.0
> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
> ....
> ....
>
>
> L'interface qui m'intéresse est eth0 (DMZ) :
> eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
> TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 lg file transmission:0
> RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
>
>
> Pour être plus clair, eth0 est bridgée et permet aux différentes
> machines virtuelles d'avoir leur propre IP sur le réseau.
> Bien que toutes les données des domU passent par eth0, on n'y voit aucun
> traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)
>
>
> J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
> qui écoute eth0.
> Mais le problème est que le trafic ne semble pas être "capté" par eth0.
> Quelles solutions s'offrent à nous?
>
>
> J'espère avoir clair dans mes explications..
> Merci pour vos lumières.
>
Reply to: