jueves, 19 de agosto de 2010

Captura de tráfico en un Switch Cisco

Bien sabemos que cuando un switch tiene completa las tablas de direcciones MAC la conmutación de unicast se hace puerto a puerto entre el origen y el destino de la información, esto permite que las comunicaciones sean extremadamente rápidas y que el ancho de banda sea dedicado entre los dos equipos intervinientes.

Esta es una de las ventajas que poseen los switches con respecto a los hubs. Pero sin embargo y casi sin querer logramos otro efecto positivo para la red.


Dado que las comunicaciones son punto a punto, en teoría no hay posibilidad de que un equipo pueda recibir tramas que no estén destinadas a el, con el consiguiente beneficio en la seguridad.


En este caso si conectamos un dispositivo destinado a analizar los paquetes que se envían los equipos, este nunca recibirá tráfico salvo que esté explícitamente destinado a su dirección MAC.

Para solucionar este inconveniente, los switches implementan una tecnología de mirroring o espejado, en donde la información que se trasmite hacia/desde los equipos que se quieren analizar se conmuta normalmente pero también se envía una copia al puerto donde se encuentra enchufado el equipo de análisis.


Cuando hablamos de Switches Cisco, esta tecnología se llama SPAN (SwitchPort ANalyzer) o bien como Monitor Session, y puede dirigir el tráfico que se origina en un puerto físico o en una VLAN hacia un puerto destino donde se encuentra conectado -por ejemplo- un IDS.

Algunas consideraciones para tener en cuenta:
  • El puerto de destino no soporta determinados protocolos de capa 2 (DTP, VTP, CDP, STP).
  • Tampoco soporta determinados features de seguridad (802.1X, pVLAN).
  • El ancho de banda del puerto de destino debe soportar la sumatoria de la cantidad de datos que se generan desde los puertos de origen. No deberíamos capturar el tráfico de 5 puertos de 100 mbps e intentar copiarlos a un puerto de destino de 100 mbps que se satura rápidamente.
  • Un puerto origen no puede ser a la vez un puerto de destino ni viceversa.
  • Un puerto de destino deja de trabajar como puerto de switch, y solo transmite información de los puertos origen.
  • La sesión de monitoreo solo se activa si los puertos en cuestión están operativos (al menos uno de origen y el de destino).

Vamos a ver un ejemplo de configuración en donde capturaremos el tráfico entrante y saliente del port 5, el saliente del 6 y el entrante del 7. Todo ese tráfico se replicará en el IDS que tenemos instalado en el puerto Gigabit 0/1. Además establecemos otra sesión de monitoreo para el tráfico que se cursa por la vlan 405.

Switch(config)#monitor session 1 source interface FastEthernet 0/5
Switch(config)#monitor session 1 source interface FastEthernet 0/6 tx
Switch(config)#monitor session 1 source interface FastEthernet 0/7 rx
Switch(config)#monitor session 1 destination interface GigabitEthernet 0/1
Switch(config)#monitor session 2 source vlan 405
Switch(config)#monitor session 2 destination interface GigabitEthernet 0/2 


En la próxima veremos como se hace para monitorear un puerto de un switch remoto, en donde el analizador no está directamente conectado.

Saludos.

8 comentarios:

Anónimo dijo...

Una pregunta en uno de mis trabajos encontre una plataforma que tiene la particularidad que esta segmentada pero sin tener un port mirroring me estan llegando paquetes de otras maquinas a mi sniffer.. que pudiese estar pasando ahi?

Anónimo dijo...

Soy nuevo en esto del monitoreo y creo que mi pregunta sera sencilla y tal vez absurda para algunos. Pero ¿DONDÉ INGRESO ESTE CODIGO?

Anónimo dijo...

En el Switch donde tienes conectado el sniffer caballero.

saludos!

Ariel S. Weher dijo...

En cualquier puerto donde lo diga el comando "destination interface"

Anónimo dijo...

SI designamos como puerto de origen una vlan en concreto, copiara las tramas de todos los puertos de esa vlan ??

Anónimo dijo...

Gracias desde Colombia!!!

Anónimo dijo...

.. y con q soft puede ver ese trafico detallado..?

Unknown dijo...

Realice esta configuración en un Cisco catalyst 2960 pero al conectar mi maquina en el puerto que asigne "destino" no se agrega a la red, no se asigna una ip, lo que no pasa con mis otros equipos que si reciben una ip de mi servidor dhcp, espero que puedas ayudarme.

Publicar un comentario