Posicin del sniffer en nuestra red.

Redes conmutadas y
no conmutadas.
Publicado en 25 junio, 2008de Alfon

Despus de algn comentario y correos, vamos a estudiar el posicionamiento o

colocacin de un sniffer en nuestra red para obtener los resultados que
esperamos.

Todo depende de la topologa de red y el uso de hub o switch.

Este artculo es vlido para cualquier sniffer de los que ya hemos visto. Wireshark,
Tshark,WinDump / TCPdump, etc.
Sobre deteccin de sniffers en redes conmutadas y no
conmutadas: Detectando Sniffers en nuestra red. Redes conmutadas y no
conmutadas. Actualizacin.
Posicin del sniffer en red no conmutada (HUB).
El escenario ms bsico lo encontramos en una red conectada mediante hub. En
este casoposicionamos el sniffer en cualquier ranura o boca del hub y
obtendremos, con la tarjeta en modo promscuo, todo el trfico de la
red. Esto es as porque en un hub todos los paquetes son transmitidos a todos los
hosts conectados en el mismo segmento de red. Se divide el ancho de banda entre
cada host de la red, ademas, se transmiten los paquetes a la velocidad del
dispositivo ms lento del segmento. Se producen tambin colisiones que derivan en
una red ms lenta debido a las retransmisiones.
Posicin del sniffer en red conmutada (SWITCH).
En este caso, a cada host conectado al switch, le llega solo el trafico dirigido a
el (unicast ) y el broadcast/multicast. El trfico dirigido a otros host NO lo
veremos. No divide el ancho de banda, esto significa, a grosso modo, que en un
switch 10/100 cada puerto es capaz de transmitir a un mximo de 100 dedicado. Es
ms eficiente que las redes no conmutadas.

Resumiendo entonces, si ubicamos un sniffer en cualquier puerto del switch, solo

veremos el trfico dirigido solo al host donde se encuentre el sniffer y el trfico
broadcast/multicast tal como ARP.
Soluciones.
Solucin 1
Una posible solucin podra ser el envenenamiento ARP, un Arp Poison. Pero esto
es totalmente desaconsejable porque podemos destabilizar la red y crear mayores
problemas.
Solucin 2
Podramos tambin colocar el sniffer en el gateway de salida a internet, en
un host firewall de varias tarjetas, indicar cual de las interfaces nos interesa
olfatear, de esta forma veremos algo ms de trfico que no sea el
broadcast/multicast.
Pero para ver todo el trfico entre dos hosts las soluciones ms eficaces son otras.
Solucin 3
Una de ellas es aprovechar alguna de las caractersticas de un switch administrable
como elSPAN (Switch Port Analysis) o llamado de otra forma el Port
Mirroring. Esta es una caraterstica que lo que hace es, bsicamente, copiar el
trfico entre dos puertos a un tercero (ubicacin del host sniffer) del
switch. Eel Port mirroring tiene el problema que multiplica la carga del switch.
Solucin 4
Pero que pasa si el switch es antiguo y/o no administrable, o simplemente no
soporta Port Mirroring ?.
Para este caso tenemos otra opcin. Se trata de conectar un hub a una de las
salidas o puerto del switch y a este hub conectar el host sniffer (C) y
uno de los host a capturar el trfico (B). El otro host llammosle (B)
sigue en su ubicacin del switch . De esta forma C puede ver el trfico
entre A y B. ( B puede ser cualquier otro host conectado al switch o un servidor ).
Esta opcin, al igual que el Arp Poison, es algo problemtica y desaconsejable.
Solucin 5
Otra opcin de la que disponemos es instalar otra interface de red en el host
sniffer de forma que tenga dos interfaces de red. Una de las tarjetas la

conectamos al switch y la otra a uno de los hosts a analizar. Esta opcin se

considera pasiva, pero necesita de configuracin del host sniffer a nivel de
interfaces de red para establecer el modo Bridge.
(http://technet.microsoft.com/en-us/library/bb457038(TechNet.10).aspx).
Solucin 6
Est solucin, quiz la ms eficiente y aconsejable aunque tambin ms costosa y
quizs ms incomoda. Consiste en hacer uso de un Network TAP o Test Access
Port (Puerto de acceso de pruebas). Con este dispositivo podemos capturar el
trfico de una red conmutada de forma pasiva, es decir, no interfiere en el
flujo o trfico de nuestra red.