[eside-ghost] Duda VLANs y Sniffers

Jon Urionaguena juriona en nesys-st.com
Lun Nov 12 08:40:02 CET 2007 

En un entorno switcheado, o haces eso (SPAN o port mirroring o como le
llame cada fabricante...), o tienes que "manipular" la red de manera
intrusiva haciendo "arp spoofing" cosa poco recomendable si lo vas a
hacer de manera continuada.

Saludos,

Jon

David Rodriguez Torrontegui escribió:
> No si ya sabía yo que andaba un poco pez en tema de VLANs, muchas
> gracias por la aclaración, ya me ha quedado mas o menos claro.
> Entonces si yo no he entendido mal, todos los paquetes mandados desde
> o hacia una VLAN concreta pueden ser snifeados desde dicha VLAN, ¿no?
>
> Lo que no me ha quedado muy claro es lo que comentas de redirigir el
> trafico hacia un puerto, te refieres a que es necesario hacer eso si
> quiero snifear la información de distinas VLANs desde un único punto, ¿no?
>
> un saludo
>
> El día 10/11/07, *Jon Urionaguena* <juriona en nesys-st.com
> <mailto:juriona en nesys-st.com>> escribió:
>
>     Aupi a todos,
>
>     La VLAN es una entidad de nivel 2 OSI, por lo que no es "una VLAN del
>     tipo 10.10.0.0/24 <http://10.10.0.0/24>". Otra cosa es que el tipo
>     de direccionamiento que
>     uses para las tramas en una VLAN sea el que dices.
>
>     Una VLAN es una "división" lógica de un entrono switcheado para
>     obtener
>     múltiples entornos switcheados. Se usan primariamente para gestionar
>     múltiples "redes" con un mismo core de red y manipular estas redes
>     a tú
>     gusto, además de como mecanismo flexible y seguro para dividir una
>     red.
>
>     El caso es que lo que planteas no tiene sentido en el momento que
>     planteas "snifar" desde una red a otra. Lo que creo que quieres es
>     que
>     la arquitectura de red (tu switch o switches) "repliquen" cierto
>     tráfico
>     a un puerto (esto es lo que decía Saúl... Port mirroring o SPAN, según
>     marcas), en el cuál te dedicarás a snifar (este puerto del switch no
>     tiene porqué pertenecer a una VLAN). Esta solución es la idónea para
>     implementar soluciones de IDSs distribuidos.
>
>     Para esto deberás analizar y muchos casos reestructurar tu
>     arquitectura
>     de capa dos para saber cuál es el tráfico que quieres analizar y
>     poder
>     replicarlo a un puerto en el cuál conectarás el sniffer. No se si me
>     explico...
>
>     Para esto deberás tener un switch (o varios) de gama media/alta...
>     Según
>     los modelos suelen estar limitados en sesiones de monitorización,
>     número
>     de puertos que pueden replicar y su relación, (X sesiones a Y
>     puertos).
>     Y es aquí donde se "paga" el precio del switch...
>
>     Depende lo que quieras hacer puedes tener que irte a muuucha pasta...
>
>     Saludos,
>
>     Jon
>
>     Saúl Ibarra escribió:
>     >  Con VLANs no se, pero en entornos switcheados se puede hacer
>     mediante
>     > arp poisoning o port mirroring.
>     >
>     > El 9/11/07, David Rodriguez Torrontegui
>     > <david.rodriguez.torrontegui en gmail.com
>     <mailto:david.rodriguez.torrontegui en gmail.com>> escribió:
>     >
>     >> Hola,
>     >>
>     >> Tengo una duda con las VLANs, las cuales dicho sea de paso
>     nunca las he
>     >> entendido demasiado bien, si yo creo una VLAN del tipo
>     10.10.0.0/24 <http://10.10.0.0/24> ¿se
>     >> podría "snifar" toda las comunicaciones dentro de la VLAN? o
>     los switch con
>     >> los que esta construida físicamente la red me lo imperían.
>     >>
>     >> Y ¿podría snifar información de la VLAN 10.10.0.0./24 desde la VLAN
>     >> 10.11.0.0./24 estando en el mismo segmento de red físico, es decir,
>     >> enchufado en el mismo switch?
>     >>
>     >> un saludo y gracias !!!
>     >>
>     >>  David Rodriguez Torrontegui
>     >> _______________________________________________
>     >> eside-ghost mailing list
>     >> eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
>     >> https://listas.deusto.es/mailman/listinfo/eside-ghost
>     >>
>     >>
>     >
>     >
>     >
>
>     --
>
>     Jon Urionaguena Mendizabal      <juriona en nesys-st.com
>     <mailto:juriona en nesys-st.com>>
>     Director de Proyectos           www.nesys-st.com
>     <http://www.nesys-st.com>
>     Tfno: 94 406 0546               Móvil: 675 610 399
>     GPG: 01D3 27A9 A663 C89E 3F72 2C5B 4913 E546 C4AA 2A97
>
>
>     _______________________________________________
>     eside-ghost mailing list
>     eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
>     https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
>
>
> -- 
> un saludo
>
> David Rodriguez Torrontegui
> ------------------------------------------------------------------------
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost

-- 

Jon Urionaguena Mendizabal    	<juriona en nesys-st.com>
Director de Proyectos         	www.nesys-st.com
Tfno: 94 406 0546         	Móvil: 675 610 399
GPG: 01D3 27A9 A663 C89E 3F72 2C5B 4913 E546 C4AA 2A97

Más información sobre la lista de distribución eside-ghost