No estoy seguro de si esta es una pregunta simple, pero esperaba algo de información para terminar un laboratorio pentest. Mi objetivo es que Snort detecte un ataque en un entorno virtual entre dos máquinas virtuales invitadas. Mi configuración actual se ejecuta en virtualbox:
- Windows 10 ejecutando Snort (host)
- Kali como atacante (invitado)
- Windows XP sin parchear como destino (invitado)
Las dos máquinas invitadas están conectadas en red como solo host. Dentro de cada máquina, puedo hacer ping a host-guest y guest-guest.Pinging host-guest y ejecutar una alerta ICMP de prueba [alert icmp any any - > any any (msg: "Testing ICMP"; sid: 1000001;)] muestra solo los paquetes de eco de retorno. Pinging guest-guest no muestra ningún tráfico.
El inicio de mi Snort es:
C:\Snort\bin>snort -i 6 -c c:\snort\etc\snort.conf -A console
donde 6 es la interfaz virtualBox
Manteniendo la misma configuración pero cambiando la interfaz a la NIC del host y haciendo ping a la web desde el host, Snort mostrará la solicitud y las respuestas del ICMP.
¿Sería esto un problema de archivo conf o un problema de red virtualbox? ¿Alguna idea de cómo puedo hacer que Snort controle el tráfico entre los dos invitados mientras ejecuto en el host?
¡Gracias!