[eside-ghost] Duda VLANs y Sniffers

David Rodriguez Torrontegui david.rodriguez.torrontegui en gmail.com
Lun Nov 12 09:27:47 CET 2007 

Gracias !!

El día 12/11/07, Jon Urionaguena <juriona en nesys-st.com> escribió:
>
> En un entorno switcheado, o haces eso (SPAN o port mirroring o como le
> llame cada fabricante...), o tienes que "manipular" la red de manera
> intrusiva haciendo "arp spoofing" cosa poco recomendable si lo vas a
> hacer de manera continuada.
>
> Saludos,
>
> Jon
>
> David Rodriguez Torrontegui escribió:
> > No si ya sabía yo que andaba un poco pez en tema de VLANs, muchas
> > gracias por la aclaración, ya me ha quedado mas o menos claro.
> > Entonces si yo no he entendido mal, todos los paquetes mandados desde
> > o hacia una VLAN concreta pueden ser snifeados desde dicha VLAN, ¿no?
> >
> > Lo que no me ha quedado muy claro es lo que comentas de redirigir el
> > trafico hacia un puerto, te refieres a que es necesario hacer eso si
> > quiero snifear la información de distinas VLANs desde un único punto,
> ¿no?
> >
> > un saludo
> >
> > El día 10/11/07, *Jon Urionaguena* <juriona en nesys-st.com
> > <mailto:juriona en nesys-st.com>> escribió:
> >
> >     Aupi a todos,
> >
> >     La VLAN es una entidad de nivel 2 OSI, por lo que no es "una VLAN
> del
> >     tipo 10.10.0.0/24 <http://10.10.0.0/24>". Otra cosa es que el tipo
> >     de direccionamiento que
> >     uses para las tramas en una VLAN sea el que dices.
> >
> >     Una VLAN es una "división" lógica de un entrono switcheado para
> >     obtener
> >     múltiples entornos switcheados. Se usan primariamente para gestionar
> >     múltiples "redes" con un mismo core de red y manipular estas redes
> >     a tú
> >     gusto, además de como mecanismo flexible y seguro para dividir una
> >     red.
> >
> >     El caso es que lo que planteas no tiene sentido en el momento que
> >     planteas "snifar" desde una red a otra. Lo que creo que quieres es
> >     que
> >     la arquitectura de red (tu switch o switches) "repliquen" cierto
> >     tráfico
> >     a un puerto (esto es lo que decía Saúl... Port mirroring o SPAN,
> según
> >     marcas), en el cuál te dedicarás a snifar (este puerto del switch no
> >     tiene porqué pertenecer a una VLAN). Esta solución es la idónea para
> >     implementar soluciones de IDSs distribuidos.
> >
> >     Para esto deberás analizar y muchos casos reestructurar tu
> >     arquitectura
> >     de capa dos para saber cuál es el tráfico que quieres analizar y
> >     poder
> >     replicarlo a un puerto en el cuál conectarás el sniffer. No se si me
> >     explico...
> >
> >     Para esto deberás tener un switch (o varios) de gama media/alta...
> >     Según
> >     los modelos suelen estar limitados en sesiones de monitorización,
> >     número
> >     de puertos que pueden replicar y su relación, (X sesiones a Y
> >     puertos).
> >     Y es aquí donde se "paga" el precio del switch...
> >
> >     Depende lo que quieras hacer puedes tener que irte a muuucha
> pasta...
> >
> >     Saludos,
> >
> >     Jon
> >
> >     Saúl Ibarra escribió:
> >     >  Con VLANs no se, pero en entornos switcheados se puede hacer
> >     mediante
> >     > arp poisoning o port mirroring.
> >     >
> >     > El 9/11/07, David Rodriguez Torrontegui
> >     > <david.rodriguez.torrontegui en gmail.com
> >     <mailto:david.rodriguez.torrontegui en gmail.com>> escribió:
> >     >
> >     >> Hola,
> >     >>
> >     >> Tengo una duda con las VLANs, las cuales dicho sea de paso
> >     nunca las he
> >     >> entendido demasiado bien, si yo creo una VLAN del tipo
> >     10.10.0.0/24 <http://10.10.0.0/24> ¿se
> >     >> podría "snifar" toda las comunicaciones dentro de la VLAN? o
> >     los switch con
> >     >> los que esta construida físicamente la red me lo imperían.
> >     >>
> >     >> Y ¿podría snifar información de la VLAN 10.10.0.0./24 desde la
> VLAN
> >     >> 10.11.0.0./24 estando en el mismo segmento de red físico, es
> decir,
> >     >> enchufado en el mismo switch?
> >     >>
> >     >> un saludo y gracias !!!
> >     >>
> >     >>  David Rodriguez Torrontegui
> >     >> _______________________________________________
> >     >> eside-ghost mailing list
> >     >> eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
> >     >> https://listas.deusto.es/mailman/listinfo/eside-ghost
> >     >>
> >     >>
> >     >
> >     >
> >     >
> >
> >     --
> >
> >     Jon Urionaguena Mendizabal      <juriona en nesys-st.com
> >     <mailto:juriona en nesys-st.com>>
> >     Director de Proyectos           www.nesys-st.com
> >     <http://www.nesys-st.com>
> >     Tfno: 94 406 0546               Móvil: 675 610 399
> >     GPG: 01D3 27A9 A663 C89E 3F72 2C5B 4913 E546 C4AA 2A97
> >
> >
> >     _______________________________________________
> >     eside-ghost mailing list
> >     eside-ghost en deusto.es <mailto:eside-ghost en deusto.es>
> >     https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> >
> >
> >
> > --
> > un saludo
> >
> > David Rodriguez Torrontegui
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
>
> --
>
> Jon Urionaguena Mendizabal      <juriona en nesys-st.com>
> Director de Proyectos           www.nesys-st.com
> Tfno: 94 406 0546               Móvil: 675 610 399
> GPG: 01D3 27A9 A663 C89E 3F72 2C5B 4913 E546 C4AA 2A97
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>



-- 
un saludo

David Rodriguez Torrontegui
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20071112/3d1e04f9/attachment.htm

Más información sobre la lista de distribución eside-ghost