miércoles, mayo 23, 2007

Snort, vlan, pcap y Linux

Estoy usando Snort como IDS en un despliegue donde trabajo actualmente. Normalmente, Snort espera un parámetro de interfaz -i, donde se indica la interfaz por donde debe de trabajar. Si se está trabajando con una versión de libpcap lo bastante actual, tendrá soporte para una interfaz any, que escuchará en cualquier interfaz de red de la máquina.

¿Pero que pasa si queremos escuchar en una interfaz física donde hay varias vlanes?. En principio, lo lógico sería que viésemos todo el tráfico, tanto las tramas que están marcadas con una vlan como las tramas sin marcar. Pues consultando el wiki the Wireshark (Ethereal), me encuentro con esta información sobre Linux.

... After your VLAN interfaces are set up and traffic is flowing, you can run Wireshark and capture on the VLAN interface of your choice (e.g., eth0.100 for VLAN 100) or on the underlying physical interface (e.g., eth0). If you choose the former, you will only see frames destined for that VLAN; if you choose the latter, you may see all frames or you may see only untagged frames (if there are any). It depends on the NIC, the NIC firmware, the driver, and the alignment of the moon and planets. ...
Es decir, en función del driver, el firmware del mismo o el driver, veremos el tráfico completo si escuchamos en la interfaz física. Lo comento para no llevarse sorpresas cuando se esté capturando tráfico o usando un IDS en Linux.

Technorati Tags: , ,

Publicado por el

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)