martes, 5 de noviembre de 2013

Captura de tráfico en un Switch Cisco


Bien sabemos que cuando un switch tiene completa las tablas de direcciones MAC la conmutación de unicast se hace puerto a puerto entre el origen y el destino de la información, esto permite que las comunicaciones sean extremadamente rápidas y que el ancho de banda sea dedicado entre los dos equipos intervinientes.

Esta es una de las ventajas que poseen los switches con respecto a los hubs. Pero sin embargo y casi sin querer logramos otro efecto positivo para la red.


Dado que las comunicaciones son punto a punto, en teoría no hay posibilidad de que un equipo pueda recibir tramas que no estén destinadas a el, con el consiguiente beneficio en la seguridad.


En este caso si conectamos un dispositivo destinado a analizar los paquetes que se envían los equipos, este nunca recibirá tráfico salvo que esté explícitamente destinado a su dirección MAC.

Para solucionar este inconveniente, los switches implementan una tecnología de mirroring o espejado, en donde la información que se trasmite hacia/desde los equipos que se quieren analizar se conmuta normalmente pero también se envía una copia al puerto donde se encuentra enchufado el equipo de análisis.


Cuando hablamos de Switches Cisco, esta tecnología se llama SPAN (SwitchPort ANalyzer) o bien como Monitor Session, y puede dirigir el tráfico que se origina en un puerto físico o en una VLAN hacia un puerto destino donde se encuentra conectado -por ejemplo- un IDS.

Algunas consideraciones para tener en cuenta:
  • El puerto de destino no soporta determinados protocolos de capa 2 (DTP, VTP, CDP, STP).
  • Tampoco soporta determinados features de seguridad (802.1X, pVLAN).
  • El ancho de banda del puerto de destino debe soportar la sumatoria de la cantidad de datos que se generan desde los puertos de origen. No deberíamos capturar el tráfico de 5 puertos de 100 mbps e intentar copiarlos a un puerto de destino de 100 mbps que se satura rápidamente.
  • Un puerto origen no puede ser a la vez un puerto de destino ni viceversa.
  • Un puerto de destino deja de trabajar como puerto de switch, y solo transmite información de los puertos origen.
  • La sesión de monitoreo solo se activa si los puertos en cuestión están operativos (al menos uno de origen y el de destino).

Vamos a ver un ejemplo de configuración en donde capturaremos el tráfico entrante y saliente del port 5, el saliente del 6 y el entrante del 7. Todo ese tráfico se replicará en el IDS que tenemos instalado en el puerto Gigabit 0/1. Además establecemos otra sesión de monitoreo para el tráfico que se cursa por la vlan 405.

Switch(config)#monitor session 1 source interface FastEthernet 0/5
Switch(config)#monitor session 1 source interface FastEthernet 0/6 tx
Switch(config)#monitor session 1 source interface FastEthernet 0/7 rx
Switch(config)#monitor session 1 destination interface GigabitEthernet 0/1
Switch(config)#monitor session 2 source vlan 405
Switch(config)#monitor session 2 destination interface GigabitEthernet 0/2

Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)