Xen + Snort

Le
Cornichon
Salut à tous,

On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif2.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
.
.


L'interface qui m'intéresse est eth0 (DMZ) :
eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)


Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)


J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?


J'espère avoir clair dans mes explications..
Merci pour vos lumières.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Vincent Danjean
Le #19760941
Cornichon wrote:
Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.



Sauf que ce n'est pas clair : si je me souviens bien, le script par
défaut de xen renomme l'interface physique et le bridge pour que le
bridge porte le même nom que portait l'interface physique avant le
démarrage de Xen.
Bref, eth0 ne désigne probablement pas la même chose tout au long
du temps et c'est probablement pour ça que RX/TX est faible.
Trouve le bridge et l'interface physique et regarde ce qui passe
sur chacun d'eux exactement.

Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)





--
Vincent Danjean Adresse: Laboratoire d'Informatique de Grenoble
Téléphone: +33 4 76 61 20 11 ENSIMAG - antenne de Montbonnot
Fax: +33 4 76 61 20 99 ZIRST 51, avenue Jean Kuntzmann
Email: 38330 Montbonnot Saint Martin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean Baptiste Favre
Le #19761281
Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.

D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.

Cordialement,
JB


Cornichon a écrit :
Salut à tous,

On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
Sur la machine dom0, voici le début la chaine forward (par défaut) :

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif1.1
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
match --physdev-in vif2.0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV
....
....


L'interface qui m'intéresse est eth0 (DMZ) :
eth0 Link encap:Ethernet HWaddr 00:05:5d:2c:13:ff
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)


Pour être plus clair, eth0 est bridgée et permet aux différentes
machines virtuelles d'avoir leur propre IP sur le réseau.
Bien que toutes les données des domU passent par eth0, on n'y voit aucun
traffic : RX bytes:46584 (45.4 KiB) TX bytes:569 (569.0 B)


J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
qui écoute eth0.
Mais le problème est que le trafic ne semble pas être "capté" par eth0.
Quelles solutions s'offrent à nous?


J'espère avoir clair dans mes explications..
Merci pour vos lumières.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Cornichon
Le #19762611
Jean Baptiste Favre a écrit :
Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.

D'autre part, les "bonnes pratique" recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.

Cordialement,
JB





Vincent et toi venez de me donner la solution .. merci.
Effectivement l'interface du bridge est peth0, suivi par une ensemble de
vif1.x vif2.x, correspondant aux différentes interfaces des domU.
Et je retrouve bien mon traffic sur peth0.

Oui, les bonnes pratiques recommandent d'avoir un dom0 exclusivement
dédié aux domU. Snort sur un domU ok, mais comment mirrorer (nouveau
verbe) peth0 vers ce domU?

Merci.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme