Quando precisamos monitorar nossas redes um dos primeiros pontos a se considerar é a necessidade de nosso servidor monitorando todo o tráfego que passa através dos switches de rede, por que nós temos várias opções, se a rede é composta por hosts físicos pode configurar um espelhamento de porta ou porta SPAN (Switched port Analyzer), como Cisco, uma das portas do switch e da máquina que conectam esta porta para receber todo o tráfego flui através do interruptor sempre que interface de rede modo promíscuo para o nosso servidor de monitoramento pode analisar todos os pacotes que fluem através da rede.
Se o servidor de monitoramento suporta fluxos de nossa análise (sFlows / NetFlows) outra possibilidade para hosts físicos e virtuais é configurar nosso roteador para enviar esses fluxos para o nosso servidor de monitoramento.
Em ambientes virtualizados outra opção é criar uma porta espelhada nos switches virtuais para monitoramento virtualizados nosso servidor pode receber e analisar todo o tráfego de rede de máquinas virtuais. Este guia explica como configurar isso em um servidor VMware ESXi 3.5 e como configurar o nosso servidor de monitoramento para receber todo o tráfego de rede de VMs.
1 -. Selecione o servidor ESX em Inventário e Configuração -> Rede.
. 2 - Procure pelo VSWITCH que deseja adicionar a porta espelhada e clique em Propriedades. Exibida a janela Propriedades VSWITCH, clique em Adicionar para adicionar um novo grupo de portas:
. 3 - Escolha como conectar um tipo de máquina virtual:
. 4 - Dê um nome para o novo grupo de portas que serão configurados em modo Promíscuo para receber diretamente todos pacotes do VSWITCH:
.5 - Aqui nós vemos um resumo de como ficará a nova configuração do VSWITCH. Clique em Concluir para aplicar as mudanças:
. 6 - Uma vez adicionado um novo grupo de portas ao nosso VSWITCH que queremos capturar todo o tráfego passado por ele, vamos habilitar o modo promíscuo.
7.- Irá abrir a propriedade do novo grupo de portas, vá para a aba de Segurança, habilitaremos a opção Modo Promíscuo, selecione Aceitar no combo box para permitir que aceite todo o trafégo da rede a ele.
Clique em OK para salvar as alterações.
Agora, se você ligar uma máquina virtual com portas de rede neste grupo, eles poderão receber todo o tráfego que estará passando pelo VSWITCH entre máquinas virtuais. Isto é muito útil para usar qualquer ferramenta de monitoramento e receber todo o tráfego de rede sem TAP. O próximo passo é adicionar uma nova interface de rede para a Maquina Virtual, placa de rede esta que já está no novo grupo de portas configuradas em modo promíscuo rotulado Sniffer.
. 8 - No inventário do ESX, clicamos com o botão direito do mouse sobre a VM que desejamos adicionar a nova NIC e clique Editar, sendo exibida a janela Configurações de configuração da VM, na aba Hardware clique em Adicionar:
9.- Selecionamos Ethernet Adapter como um novo dispositivo a ser adicionado à VM:
10.- Selecionamos uma Conexão de Rede no novo grupo de portas (sniffer) que havíamos criado para conectar a nova interface a uma de suas portas.
11.- Em seguida será mostrado um resumo do novo hardware e clicaremos em Finish:
12.- Clique em OK para aplicar as alterações:
Assim, pode definir a partir do sistema operacional do NIC nova VM em modo promíscuo e receber diretamente todo o tráfego já no VSWITCH, perfeito para colocar um sniffer de rede como Snort, Wireshark, ntop ou como OSSIM SIEM.
Refer: Open redes
Nenhum comentário:
Postar um comentário