[eside-ghost] Duda VLANs y Sniffers

Jon Urionaguena juriona en nesys-st.com
Sab Nov 10 13:34:31 CET 2007 

Aupi a todos,

La VLAN es una entidad de nivel 2 OSI, por lo que no es "una VLAN del
tipo 10.10.0.0/24". Otra cosa es que el tipo de direccionamiento que
uses para las tramas en una VLAN sea el que dices.

Una VLAN es una "división" lógica de un entrono switcheado para obtener
múltiples entornos switcheados. Se usan primariamente para gestionar
múltiples "redes" con un mismo core de red y manipular estas redes a tú
gusto, además de como mecanismo flexible y seguro para dividir una red.

El caso es que lo que planteas no tiene sentido en el momento que
planteas "snifar" desde una red a otra. Lo que creo que quieres es que
la arquitectura de red (tu switch o switches) "repliquen" cierto tráfico
a un puerto (esto es lo que decía Saúl... Port mirroring o SPAN, según
marcas), en el cuál te dedicarás a snifar (este puerto del switch no
tiene porqué pertenecer a una VLAN). Esta solución es la idónea para
implementar soluciones de IDSs distribuidos.

Para esto deberás analizar y muchos casos reestructurar tu arquitectura
de capa dos para saber cuál es el tráfico que quieres analizar y poder
replicarlo a un puerto en el cuál conectarás el sniffer. No se si me
explico...

Para esto deberás tener un switch (o varios) de gama media/alta... Según
los modelos suelen estar limitados en sesiones de monitorización, número
de puertos que pueden replicar y su relación, (X sesiones a Y puertos).
Y es aquí donde se "paga" el precio del switch...

Depende lo que quieras hacer puedes tener que irte a muuucha pasta...

Saludos,

Jon

Saúl Ibarra escribió:
>  Con VLANs no se, pero en entornos switcheados se puede hacer mediante
> arp poisoning o port mirroring.
>
> El 9/11/07, David Rodriguez Torrontegui
> <david.rodriguez.torrontegui en gmail.com> escribió:
>   
>> Hola,
>>
>> Tengo una duda con las VLANs, las cuales dicho sea de paso nunca las he
>> entendido demasiado bien, si yo creo una VLAN del tipo 10.10.0.0/24 ¿se
>> podría "snifar" toda las comunicaciones dentro de la VLAN? o los switch con
>> los que esta construida físicamente la red me lo imperían.
>>
>> Y ¿podría snifar información de la VLAN 10.10.0.0./24 desde la VLAN
>> 10.11.0.0./24 estando en el mismo segmento de red físico, es decir,
>> enchufado en el mismo switch?
>>
>> un saludo y gracias !!!
>>
>>  David Rodriguez Torrontegui
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>>     
>
>
>   

-- 

Jon Urionaguena Mendizabal    	<juriona en nesys-st.com>
Director de Proyectos         	www.nesys-st.com
Tfno: 94 406 0546         	Móvil: 675 610 399
GPG: 01D3 27A9 A663 C89E 3F72 2C5B 4913 E546 C4AA 2A97

Más información sobre la lista de distribución eside-ghost