Capturar tráfico en NETinVM puede hacerse tanto en base como en las máquinas KVM. Como en cualquier entorno corporativo, para poder capturar todo el tráfico que atraviesa un conmutador (switch), es necesario utilizar un puerto espejo, es decir, un puerto configurado para recibir copia de todo el tráfico que atraviese el conmutador.
Los tres conmutadores de NETinVM están configurados con un puerto espejo para que la captura desde base sea lo más sencilla posible. Estos puertos son mirror-ext, mirror-dmz y mirror-int; y, lógicamente, permiten capturar el tráfico que atraviesa los conmutadores de la red externa, DMZ e interna, respectivamente. La captura de tráfico en base ya la tenemos descrita en la entrada «Aprendiendo a trabajar con NETinVM«, concretamente en la actividad 13 de la práctica “Seguridad informática – Introducción a NETinVM”.
No obstante, en muchos casos puede ser interesante capturar el tráfico desde una máquina KVM de cualquiera de las redes. En este artículo usaremos como ejemplo la máquina intc, conectada a la red interna; pero el procedimiento se puede aplicar a cualquiera de las máquinas KVM.