Esta es una de las ventajas que poseen los switches con respecto a los hubs. Pero sin embargo y casi sin querer logramos otro efecto positivo para la red.
Dado que las comunicaciones son punto a punto, en teoría no hay posibilidad de que un equipo pueda recibir tramas que no estén destinadas a el, con el consiguiente beneficio en la seguridad.
En este caso si conectamos un dispositivo destinado a analizar los paquetes que se envían los equipos, este nunca recibirá tráfico salvo que esté explícitamente destinado a su dirección MAC.
Para solucionar este inconveniente, los switches implementan una tecnología de mirroring o espejado, en donde la información que se trasmite hacia/desde los equipos que se quieren analizar se conmuta normalmente pero también se envía una copia al puerto donde se encuentra enchufado el equipo de análisis.
Cuando hablamos de Switches Cisco, esta tecnología se llama SPAN (SwitchPort ANalyzer) o bien como Monitor Session, y puede dirigir el tráfico que se origina en un puerto físico o en una VLAN hacia un puerto destino donde se encuentra conectado -por ejemplo- un IDS.
Algunas consideraciones para tener en cuenta:
- El puerto de destino no soporta determinados protocolos de capa 2 (DTP, VTP, CDP, STP).
- Tampoco soporta determinados features de seguridad (802.1X, pVLAN).
- El ancho de banda del puerto de destino debe soportar la sumatoria de la cantidad de datos que se generan desde los puertos de origen. No deberíamos capturar el tráfico de 5 puertos de 100 mbps e intentar copiarlos a un puerto de destino de 100 mbps que se satura rápidamente.
- Un puerto origen no puede ser a la vez un puerto de destino ni viceversa.
- Un puerto de destino deja de trabajar como puerto de switch, y solo transmite información de los puertos origen.
- La sesión de monitoreo solo se activa si los puertos en cuestión están operativos (al menos uno de origen y el de destino).
Vamos a ver un ejemplo de configuración en donde capturaremos el tráfico entrante y saliente del port 5, el saliente del 6 y el entrante del 7. Todo ese tráfico se replicará en el IDS que tenemos instalado en el puerto Gigabit 0/1. Además establecemos otra sesión de monitoreo para el tráfico que se cursa por la vlan 405.
Switch(config)#monitor session 1 source interface FastEthernet 0/5 Switch(config)#monitor session 1 source interface FastEthernet 0/6 tx Switch(config)#monitor session 1 source interface FastEthernet 0/7 rx Switch(config)#monitor session 1 destination interface GigabitEthernet 0/1
Switch(config)#monitor session 2 source vlan 405 Switch(config)#monitor session 2 destination interface GigabitEthernet 0/2
En la próxima veremos como se hace para monitorear un puerto de un switch remoto, en donde el analizador no está directamente conectado.
Saludos.
8 comentarios:
Una pregunta en uno de mis trabajos encontre una plataforma que tiene la particularidad que esta segmentada pero sin tener un port mirroring me estan llegando paquetes de otras maquinas a mi sniffer.. que pudiese estar pasando ahi?
Soy nuevo en esto del monitoreo y creo que mi pregunta sera sencilla y tal vez absurda para algunos. Pero ¿DONDÉ INGRESO ESTE CODIGO?
En el Switch donde tienes conectado el sniffer caballero.
saludos!
En cualquier puerto donde lo diga el comando "destination interface"
SI designamos como puerto de origen una vlan en concreto, copiara las tramas de todos los puertos de esa vlan ??
Gracias desde Colombia!!!
.. y con q soft puede ver ese trafico detallado..?
Realice esta configuración en un Cisco catalyst 2960 pero al conectar mi maquina en el puerto que asigne "destino" no se agrega a la red, no se asigna una ip, lo que no pasa con mis otros equipos que si reciben una ip de mi servidor dhcp, espero que puedas ayudarme.
Publicar un comentario