Redes conmutadas y no conmutadas. Publicado en 25 junio, 2008de Alfon
Despus de algn comentario y correos, vamos a estudiar el posicionamiento o
colocacin de un sniffer en nuestra red para obtener los resultados que esperamos.
Todo depende de la topologa de red y el uso de hub o switch.
Este artculo es vlido para cualquier sniffer de los que ya hemos visto. Wireshark, Tshark,WinDump / TCPdump, etc. Sobre deteccin de sniffers en redes conmutadas y no conmutadas: Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas. Actualizacin. Posicin del sniffer en red no conmutada (HUB). El escenario ms bsico lo encontramos en una red conectada mediante hub. En este casoposicionamos el sniffer en cualquier ranura o boca del hub y obtendremos, con la tarjeta en modo promscuo, todo el trfico de la red. Esto es as porque en un hub todos los paquetes son transmitidos a todos los hosts conectados en el mismo segmento de red. Se divide el ancho de banda entre cada host de la red, ademas, se transmiten los paquetes a la velocidad del dispositivo ms lento del segmento. Se producen tambin colisiones que derivan en una red ms lenta debido a las retransmisiones. Posicin del sniffer en red conmutada (SWITCH). En este caso, a cada host conectado al switch, le llega solo el trafico dirigido a el (unicast ) y el broadcast/multicast. El trfico dirigido a otros host NO lo veremos. No divide el ancho de banda, esto significa, a grosso modo, que en un switch 10/100 cada puerto es capaz de transmitir a un mximo de 100 dedicado. Es ms eficiente que las redes no conmutadas.
Resumiendo entonces, si ubicamos un sniffer en cualquier puerto del switch, solo
veremos el trfico dirigido solo al host donde se encuentre el sniffer y el trfico broadcast/multicast tal como ARP. Soluciones. Solucin 1 Una posible solucin podra ser el envenenamiento ARP, un Arp Poison. Pero esto es totalmente desaconsejable porque podemos destabilizar la red y crear mayores problemas. Solucin 2 Podramos tambin colocar el sniffer en el gateway de salida a internet, en un host firewall de varias tarjetas, indicar cual de las interfaces nos interesa olfatear, de esta forma veremos algo ms de trfico que no sea el broadcast/multicast. Pero para ver todo el trfico entre dos hosts las soluciones ms eficaces son otras. Solucin 3 Una de ellas es aprovechar alguna de las caractersticas de un switch administrable como elSPAN (Switch Port Analysis) o llamado de otra forma el Port Mirroring. Esta es una caraterstica que lo que hace es, bsicamente, copiar el trfico entre dos puertos a un tercero (ubicacin del host sniffer) del switch. Eel Port mirroring tiene el problema que multiplica la carga del switch. Solucin 4 Pero que pasa si el switch es antiguo y/o no administrable, o simplemente no soporta Port Mirroring ?. Para este caso tenemos otra opcin. Se trata de conectar un hub a una de las salidas o puerto del switch y a este hub conectar el host sniffer (C) y uno de los host a capturar el trfico (B). El otro host llammosle (B) sigue en su ubicacin del switch . De esta forma C puede ver el trfico entre A y B. ( B puede ser cualquier otro host conectado al switch o un servidor ). Esta opcin, al igual que el Arp Poison, es algo problemtica y desaconsejable. Solucin 5 Otra opcin de la que disponemos es instalar otra interface de red en el host sniffer de forma que tenga dos interfaces de red. Una de las tarjetas la
conectamos al switch y la otra a uno de los hosts a analizar. Esta opcin se
considera pasiva, pero necesita de configuracin del host sniffer a nivel de interfaces de red para establecer el modo Bridge. (http://technet.microsoft.com/en-us/library/bb457038(TechNet.10).aspx). Solucin 6 Est solucin, quiz la ms eficiente y aconsejable aunque tambin ms costosa y quizs ms incomoda. Consiste en hacer uso de un Network TAP o Test Access Port (Puerto de acceso de pruebas). Con este dispositivo podemos capturar el trfico de una red conmutada de forma pasiva, es decir, no interfiere en el flujo o trfico de nuestra red.