Buongiorno a tutti!
Vorrei sottoporvi questo problema lavorativo che mi attanaglia da qualche giorno, magari qualcuno di voi ha avuto esperienze simili o sa dare un parere esterno.
Abbiamo una macchina virtuale CentOS 6.6 su cui è installato SNORT (NIDS).
La macchina virtuale è su un server fisico Red Hat.
Abbiamo configurato sullo switch principale (Cisco Catalyst 2960) una porta di SPAN, attestata su una apposita VLAN di Span, che funge da mirror per tutto il traffico passante nella rete (wifi, lan, vpn...). Tale porta di span (priva di indirizzo IPv4 specifico) viene connessa al server fisico e quindi a quello virtuale aggiungendo l'interfaccia virtuale eth1.
Catturando il traffico passante dall'interfaccia eth1 si dovrebbe quindi vedere tutto il traffico passante in rete. In realtà riusciamo a vedere solo i pacchetti broadcast.
Il problema risiede sicuramente nel layer tra il server fisico e quello virtuale e non nella configurazione della porta di Span.
Infatti, provando ad attaccarci direttamente alla porta di Span dello switch con un qualsiasi PC e aprendo Wireshark, si vede tutto il traffico scambiato. La stessa cosa accade provando a sniffare il traffico direttamente sul server fisico. Quindi la porta di Span è configurata correttamente.
Sniffando il traffico dal server virtuale, invece non vediamo praticamente nulla.
Abbiamo provato sia a disabilitare iptables sulla macchina virtuale, sia a testare il comportamento su un altra macchina virtuale. Il comportamento è il medesimo. Si vedono solo i pacchetti broadcast.
Avete idea di cosa possa intermediare il traffico Span che dal server fisico giunge su quello virtuale?
Qualcuno ha mai avuto problemi simili?
Ringrazio anticipatamente qualsiasi tentativo di aiuto!
Grazie mille!
Antonella.
e quindi non prendere come certezza quello che ti dirò.
