bob1804 0 Geschrieben 6. August 2015 Melden Teilen Geschrieben 6. August 2015 Hallo,ich habe mich bei div. Suchmaschinen schon dumm und dämlich gesucht und nutze scheinbar die falschen Stichwörter. Ich bin mir sicher, dass einer von euch mir das große Brett vom Kopf wegnehmen kann!Ich bin gerade für unser KMU eine kleine snort-Lösung am aufbauen. Der passende Linux-Server (virtualisiert über Hyper-V, 2012 R2) läuft unter Ubuntu und snort funktioniert in den gemachten Tests prächtig.Gerne würde ich das gesamte Netzwerk überwachen lassen. Im Server sind zwei Netzwerkkarten verbaut. Eine davon möchte ich nur für das Lauschen nutzen. Diese ist mit unserem Router/Firewall LANCOM 1781 VA-4G per Ethernet verbunden. Auf einem Port, den ich als "Monitor-Port" konfiguriert habe. Dadurch sollte ich eine Spiegelung des Netzwerkverkehrs bekommen. Allerdings ist mir unklar, wie ich den Host (2012 R2) konfigurieren muss, damit das System lauscht bzw. dieses reine Lauschen an die virtuelle Maschine weiterreicht.Ich habe für die Netzwerkkarte ein virtuelles Switch für ein externes Netzwerk erzeugt. Wie muss ich dieses virtuelle Switch in den Netzwerkverbindungen konfigurieren? Feste IP oder automatisch? Gibt es weitere Einstellung, die zu treffen sind, bevor ich das ganze in die VM weitergebe?Kurze Zusammenfassung des Setups:LANCOM 1781 VA-4GWindows Server 2012 R2Hyper-Vzwei NetzwerkkartenUbuntu 14.10snorteth0 dient zum Konfigurieren von snortund nutzen der Weboberfläche via apache/BASEeth1 soll nur Lauschen Besten Dank für eure Tipps! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. August 2015 Melden Teilen Geschrieben 6. August 2015 Schau mal hier: https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d7b83bc-cb4d-4db3-a2a5-3472b559b9d6/how-to-set-hyperv-nic-in-promiscuous-mode Generell würde ich mir das Vorhaben aber nochmal überlegen. Die Ist schon bewusst, was ein Monitor-Port in einem Switch ist, und wofür man ihn benutzt? Du solltest Dir eher anschauen, ob den den Port mit der WAN-Verbindung einzeln spiegeln kann. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 6. August 2015 Melden Teilen Geschrieben 6. August 2015 Moin, abgesehen davon, scheint mir ein Missverständnis bezüglich der vSwitches und der Host-Netzwerkkarten vorzuliegen. Ein vSwitch hat keine IP-Adresse. Die IP-Adresse, die du im Host siehst, gehört zu einer virtuellen Netzwerkkarte, mit der der Host an den vSwitch angebunden ist. Sie hat mit dem vSwitch aber nichts zu tun. [Hyper-V und Netzwerke | faq-o-matic.net]http://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/ Gruß, Nils Zitieren Link zu diesem Kommentar
bob1804 0 Geschrieben 6. August 2015 Autor Melden Teilen Geschrieben 6. August 2015 Hallo Zahni, das sieht sehr vielversprechend aus. Wegen des Monitor-Ports: Da hast du vollkommen Recht! Das war eine falsche Überlegung meinerseits, muss mal schauen, ob ich den genutzten WAN-Port gespiegelt kriege. Hallo Nils, danke für den Hinweis. Da habe ich was falsch verstanden: Bisher dachte ich, dass nur die Karten im Gastsystem virtuelle Karten sind. Ich werde mich gegen Ende des Nachmittags an die Thematik geben und werde berichten. Danke euch Beiden! Grüße, Stefan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.