<div dir="ltr"><div><div>Hi Guys,<br><br></div>I thought that maybe the VM generate some kind of flags in the headers of the protocols to communicate in the network. Basically I can detect the MAC address and associate them with and IP address, however there are scenarios that the people can change the MAC address and the method that I use is not valid. But Thanks a lot for your fast answer,<br>
<br></div>Best Regards,   <br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jan 29, 2013 at 9:06 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div class="im"><div><div>On Jan 29, 2013, at 7:59 AM, Juan Camilo Valencia <<a href="mailto:juan.valencia@...16028..." target="_blank">juan.valencia@...16028...</a>> wrote:</div>
<br><blockquote type="cite"><span style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;display:inline!important;float:none">Hi Guys,</span><div style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<br></div><div style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
I am trying to find a way to ban virtual machines and hypervisors in our network, I made a quicly research and I didn't found anything.</div><div style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
<br></div><div style="font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">
Can somebody tell me if exist a way or a method to detect that, one of my ideas is when the VM is configured in NAT mode detect that kind of traffic, but the problem is when the VM is configured in bridge mode.</div></blockquote>
</div><br></div><div>It's a bit difficult to take care of this task via Snort as it involves tracking host vs. mac address vs. traffic.  Snort doesn't help inherently with this.</div><div><br></div><div>Sourcefire makes another product that does this (it's not open source) in our commercial products.</div>
<div><br></div><div><span style="font-size:12px;font-family:'Lucida Grande'">--</span><br><span style="font-size:12px;font-family:'Lucida Grande'"><b>Joel Esler</b></span><br><span style="font-size:12px;font-family:'Lucida Grande'">Senior Research Engineer, VRT</span><br>
<span style="font-size:12px;font-family:'Lucida Grande'">OpenSource Community Manager</span><br><span style="font-size:12px;font-family:'Lucida Grande'">Sourcefire</span></div><div><span style="font-size:12px;font-family:'Lucida Grande'"><br>
</span></div></div></blockquote></div><br><br clear="all"><br>-- <br><div>JUAN CAMILO VALENCIA VARGAS<br>Ingeniero de Operaciones</div><div>SeguraTec S.A.S </div><div>Calle 11 # 43B-50 of 307</div><div>Medelllín Colombia</div>
<div><br><b>“Choose a job you love, and you will never have to work a day in your life”</b><br></div>
</div>