- Este debate tiene 4 respuestas, 2 mensajes y ha sido actualizado por última vez el hace 1 año, 8 meses por
.
-
Entradas
-
Hola Alvaro,
Has tenido la necesidad de usar SPAN, ¿algún motivo especifico? ¿Qué tipo de tráfico maligno se puede analizar?
Pregunto, por que, de tener un trafico no deseado que proviene de alguna IP, podría rastrear y bloquear el puerto, o aplicar un portsecurity.
¿En que otra situación podría usar el SPAN?
gracias.
Hola!
Ten en cuenta que esto nos sirve para CUALQUIER situación que requiera que analicemos el tráfico en nuestra red, así que acá mucho depende de que problemas tengas en tu red para utilizar o no SPAN … si recuerdas CCNA, en MUCHISIMAS situaciones hemos utilizado Wireshark pero desde GNS3, o se han visto los paquetes desde la ventana de emulación de Packet Tracer; este tipo de análisis NO puedes hacerlo en una red en producción ya que por defecto los paquetes no llegan a tu PC. Cuando quieras hacer un análisis a nivel de paquete (como lo hicimos en CCNA), SI o SI necesitas SPAN o sus variantes para analizar que puede estar pasando en tu red.
Personalmente he utilizado SPAN en estas situaciones (seguramente se me escapan varias, son las que recuerdo ahora):
– Telefonía IP, acá necesitas las capturas de tráfico para la resolución de problemas; esto es más común de lo que crees cuando se realizan integraciones telefónicas entre diferentes centrales.
– Errores a nivel de rendimiento de aplicaciones TCP, a veces las aplicaciones funcionan de manera lenta o no funcionan y tú red no ha sido tocada o alterada de alguna forma; por lo tanto, en estos casos lo único que puedes hacer para resolver el problema, o descartar el problema de tu lado, es capturar el tráfico de la sesión TCP y analizarlo; acá podrías encontrar por ejemplo problemas de ventana TCP que eviten que puedas llegar a mejores tasas de transferencia, puedes encontrar problemas de generación de ACKs en servidores, entre otros.
– Para enviar tráfico a un IDS/IPSA nivel de seguridad nunca tuve la urgencia o necesidad de analizar el tráfico, pero ciertamente hay diferentes análisis que se pueden hacer a diferentes niveles del modelo de red. Respondiendo a tu comentario sobre seguridad, recuerda que el hecho que tu bloquees a una IP en particular, no significa necesariamente que la amenaza que estaba siendo explotada por el atacante se haya ido, otra persona o la misma persona con una IP diferente puede realizar el mismo ataque; la idea de analizar el tráfico, es analizar como están aprovechando la vulnerabilidad de tu red… para así tomar acciones correctivas de esa vulnerabilidad de manera que tu red quede más protegida. Port-security es una medida de protección bastante pobre, ya que fácilmente puedes clonar direcciones MAC permitidas en la red, Port-security no va detener a un atacante experimentado; bloquear el puerto debido a que en ese puerto se encuentra el atacante no es una solución; el atacante puede irse a otro puerto y realizar el mismo ataque. La idea es eliminar el problema de fondo y no intentar parcharlo.
Espero mi respuesa te haya ayudado.
Saludos cordiales.
- Debes estar registrado para responder a este debate.