Al momento de poner un sniffer [0] a olfatear nuestra red es necesario tomar en cuenta algunos puntos de interes mas que relevantes. De estos puede depender el que los resultados obtenidos nos sean utiles, y que ademas reflejen la totalidad del trafico de nuestra red.
Todo resultado dependera basicamente de dos variables: topología de red [1] y uso de hub [2] o switch [3].
Esta información es válida para cualquier sniffer de los ampliamente difundidos: Ethereal, Wireshark, TCPdump, etc…
Posición del sniffer en una red no conmutada (uso exclusivo de HUB)
Este es el modelo más básico de red, varios pc a un hub central. En este caso, posicionando el sniffer en cualquier boca del hub, con una tarjeta en modo promiscuo, obtendremos acceso a todo el tráfico de la red.
Esto se debe a que en un hub todos los paquetes son transmitidos a todos los hosts conectados dentro del mismo segmento de red. Se divide el ancho de banda entre cada host de la red, ademas, se transmiten los paquetes a la velocidad del dispositivo más lento del segmento. Se producen colisiones que derivan en una red más lenta ya que requiere de la existencia de retransmisiones de paquetes.
Posición del sniffer en una red conmutada (uso de SWITCH)
En el modelo de red utilizando un switch, cada host conectado a este recibe solo el trafico a el dirigido (unicast) y el broadcast/multicast. El tráfico dirigido a otros host NO le llega. No divide el ancho de banda, es decir, explicando por encima, que cada puerto es capaz de transmitir a un máximo de velocidad dedicada (en un switch de 100mbps, este sería el tope ideal por puerto) lo que lo hace más eficiente que una red no conmutada.
Sin embargo, de conectar el sniffer a un puerto del switch, solo veremos tráfico dirigido al host que aloja al sniffer ademas del tráfico broadcast/multicast tal como ARP.
Posibles caminos a seguir ante una red con switch:
Opción 1
Una posibilidad es utilizar Arp Poison [4] aunque no se aconseja en lo más mínimo debido a que puede crear inestabilidad y/o causar otros problemas.
Opción 2
Es posible colocar el sniffer en el gateway [5] de salida o en un host firewall [6] con varias tarjetas, esto permitiria indicar cual es la interface que nos interesa olfatear. Esto permitira ver más trafico ademas del de broadcast/multicast.
Sin embargo para ver el tráfico, especialmente entre dos hosts hay formas más eficaces.
Opción 3
Podemos aprovechar opciones como la de SPAN o Port Mirroring de los switches modernos administrables, básicamente esta modalidad copia el tráfico de dos puertos a un tercero, en el cual ubicariamos el sniffer.
Sin embargo esto implica una gran carga de procesamiento para el switch, lo que en una red en producción, con gran carga de tráfico se vuelva una opción no del todo aceptable.
Opción 4
Si estamos interceptando el tráfico entre dos hosts a traves de un switch antiguo y/o no administrable, o que simplemente no soporte Port Mirroring deberemos considerar el conectar un hub al switch donde dejaremos uno de los host a sniffear. En este hub conectaremos, en un puerto el otro host a sniffear y el sniffer propiamente dicho.
Esto permitira el ver todo el tráfico entre ambos host ademas del tráfico de broadcast/multicast.
Sin embargo esta opción puede dar problemas y no es aconsejable.
Opción 5
Otra opción, considerada de naturaleza pasiva, sería equipar al host sniffer con dos tarjetas de red, una de ellas conectada al switch que aloja a uno de los host a sniffear y otra que se conecta al otro host a sniffear. Sin embargo requiere que el host sniffer este configurado en modo Bridge [7].
Opción 6
Esta opción, es quiza la calificable como SOLUCIÓN, es quiza la más eficiente y aconsejable, aunque a veces la más costosa y quiza incomoda. Consiste en hacer uso de un TAP [8] o “Test Access Port” (Puerto de Acceso de Pruebas). Este dispositivo permite la captura de tráfico de una red conmutada en modalidad pasiva, es decir, no interfiere en el flujo o tráfico de nuestra red.
Bien, sin embargo, antes de despedirme, les recuerdo que la captura de paquetes en una red privada no es siempre considerada legal o dentro de la reglamentación de la empresa que la administra, antes de conectar un sniffer informense y soliciten las autorizaciones necesarias.
Links:
[0] – Sniffer – Wikipedia (ES)
[1] – Topología de red – Wikipedia (ES)
[2] – Hub – Wikipedia (ES)
[3] – Switch – Wikipedia (ES)
[4] – Arp Poison – Wikipedia (ES)
[5] – Gateway – Wikipedia (ES)
[6] – Firewall – Wikipedia (ES)
[7] – Bridge – Wikipedia (ES)
[8] – TAP – Link1 – Link2 – Link3
mapacheUY
