Virtualbox bridge gond

Virtualizáció

Sziasztok!

Wiresharkkal figyelem a virtuális gépre érkező forgalmat. 3 fizikai gép, 3 virtuális gép. A 3 switch össze van kötve egymással (mindegyik mindegyikkel) az fa0/13 és fa0/15-ös interfészeken.
A fizikai vason viszont látom a SPAN forgalmat. A fizikai vason viszont nem látom a virtuális gépet érő pinget.
Cisco Catalyst 3500 XL switchre vannak kötve a gépek. Fa0/1 a SPAN. Fa0/3, fa0/5, fa0/13, fa0/15 interfészeket monitorozom.
Az adminisztrációs vlan 1-et használom, és nem adtam IP címet a vlan 1 interfésznek (unassigned).

A virtuális gépeknek bridgelt kártya van fix IP címmel. Mind a fizikai gépnek, mind a virtuális gépnek 192.168.1.x-ből adom a fix IP címet és mindenhol ki van kapcsolva a tűzfal. A ping minden irányból és irányba megy.
Fizikai vason Windows 7 van. Virtualboxban se a Linux, se a Windows 7 virtuális gépeken nem látom wiresharkból a SPANről jövő forgalom, csak az őt érő pinget.

Pl.: virtuális gépről ftpzek másik virtuális gépre, ami működik. Ezt a harmadik virtuális gépen nem látom, annak ellenére, hogy az a SPAN-re van kötve. Ugyanez történik http-re is.
A virtualbox verziójára nem emlékszem, azt csak holnap tudom megnézni.

Valakinek van esetleg tippje vagy találkozott már ilyennel? Válaszotokat előre is köszönöm!

  • 2790 megtekintés

( dtam | 2012. 02. 01., sze – 17:31 )

Tipp,a fizikai vason Windows 7 alatt:
Valtozasd meg a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\MaxNumFilters erteket 8-rol 14-re.

( vl v | 2012. 02. 01., sze – 21:37 )

Eléggé kusza, hogy mit is csinálsz, ill. mi is a célod.

Kezdjük ott, hogy a switchen monitorozol bizonyos portokat, azok forgalmát kitükrözöd egy portra. Amit rákötsz egy fizikai vasra, amin belül szeretnéd ezt a forgalmat "beküldeni" egy virtuális gépnek, hogy az legyen a monitorozást végző gép. Tehát a cél, hogy a SPAN port forgalmát tudja nézni egy virtuális gép.

Ez eddig igaz?

Oké.
Akkor néhány "jótanács":

- azt a portot a switchen, amin a SPAN aktív, azt véletlenül se akard üzemszerűen használni normál forgalomra

- ennek megfelelően a gépnek nyilván ezen felül min. egy másik interfészének is kell lennie, amire a gép IP címét rakod - a SPAN-ra kötött portra nem rakunk IP címet

- ugyanez igaz a virtális gépre is: kell neki egy interfész az IP cím számára, meg egy, ahova a SPAN befut - na az csak fel van húzva ifconfig-gal, de IP cím nincs rajta

- az host OS/virtuális gép-függő, hogy hogyan tudod "összekötni" a SPAN-t fogadó, dedikált fizikai interfészt a SPAN-t fogadó virtuális gép dedikált virtuális interfészével úgy, hogy minden csomag átmenjen (a bridging vagy ezt csinálja, vagy nem - szerintem jellemzően csak a virtuális gép mac címére küldött + a broadcast/multicast csomagokat fogja beküldeni), meg ez egyáltalán lehetséges-e

- én személy szerint sem windows-t, sem pedig virtuális gépet nem akarnék ilyesmire használni...

Ja, és még egy:

- a kliens és támadó közötti forgalmat hogyan szeretnéd a harmadik switchen látni? az általad említett eszközök tudtommal nem tudnak Remote SPAN-t, anélkül meg elég macerás a setup...

Nem akartam másra használni, csak a figyelésre.
Laborban készítem a tesztkörnyezetet, így virtuális gépeket kell használnom. A laborban Comodo Time Machine van, és emiatt visszaáll minden újraindításkor.
A 4. bekezdés az, ami a problémát jelenti.
Az utolsón még nem gondolkodtam el teljesen. Ha az összes interfészt figyelem a switchen, akkor nem fogom látni?
Kipróbálom ma, amit írtál.

a az összes interfészt figyelem a switchen, akkor nem fogom látni?

Az egyik switchen hiába akarod nézni azt a forgalmat, ami a másik két switchen megy csak keresztül.
A kliens és a támadó közötti út nem megy át a harmadik switchen, így azon nem is tudod a kettejük közötti forgalmat megfigyelni. Ezt a forgalmat vagy a támadó előtti switchen, vagy a kliens előtti switchen tudod csak megfigyelni.