jueves, 18 de mayo de 2017

[Redes] Configurar un switch para usar sniffers Switch Port Analyzer

Este post lo hago con base en un paper mío del 27 de septiembre de 2013.

En un hub el tráfico recibido en cada puerto se copia en todos los restantes. Por ello es sencillo
utilizar un sniffer para ver todo el tráfico, tal como se ve en la figura:
En un switch el comportamiento es distinto. Una vez que aprendió en qué puerto se encuentra la dirección MAC de destino, el tráfico solo se reenviará en ese puerto. Dada esta situación, un sniffer conectado en otro puerto no puede ver el tráfico. Esto es bueno para la performance y seguridad, pero cuando el caso es que queremos examinar el tráfico de alguien más, representa una limitación.

El único tráfico que podría capturar es el que inunda todos los puertos, a saber:
• Tráfico de broadcast
• Tráfico multicast con CGMP o IGMP (Internet Group Management Protocol)
• Tráfico unicast desconocido
La inundación (flooding) unicast ocurre cuando el switch no tiene la MAC en su tabla en memoria direccionable por contenido (CAM). Al no saber a dónde enviar el tráfico, lo reenvía a todos los puertos en la VLAN destino. Se necesita una característica adicional para copiar artificialmente al sniffer todos los paquetes unicast que un host envía.
En este diagrama el switch ha sido configurado para enviar copia del tráfico que envía el host A al puerto del sniffer. Este puerto se denomina puerto SPAN:
Al configurar la funcionalidad SPAN se puede escoger entre copiar el tráfico de entrada, de salida o ambos. También puede utilizarse un mismo puerto para monitorear tráfico de varias VLAN.

Veamos un ejemplo de configuración para un switch Cisco 2960.
Se define que el puerto FastEthernet 0/3 reciba copia de todo el tráfico (entrante y saliente) que pasa por el puerto FastEthernet 0/2.

C2960#configure terminal
C2960(config)#monitor session 1 source interface fa 0/2
C2960(config)#monitor session 1 destination interface fa 0/3


Con el comando show monitor podemos ver la configuración creada:


C2960#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/2
Destination Ports: Fa0/3
¿Cómo podemos aprovechar esto? Además de la monitorización de actividad de un host o servidor en particular, aplicando esta config en un enlace a otras redes (por ejemplo el puerto donde se conecta el default gateway) puede estudiarse con detenimiento todo el tráfico que va hacia y desde internet. Podemos examinar el tráfico desde/hacia un servidor con minuciosidad. Entre las herramientas de software que podemos emplear destacamos Wireshark
Por supuesto, el equipo que conectemos en el puerto FastEthernet0/3 no tendrá conectividad a la red mediante este puerto, ya que el tráfico es "ajeno". Si pretendemos estar conectados a la red y en forma paralela examinar el tráfico, deberíamos disponer de dos interfaces de red.

Fuente: Cisco
Publicadas por a la/s
Etiquetas: , , , ,

No hay comentarios.:

Publicar un comentario

Aunque no es obligatorio, es de buena educación firmar los comentarios.

Suscribirse a: Comentarios de la entrada (Atom)