| Può capitare che come amministratori di rete abbiamo bisogno di analizzare il traffico che passa sula rete, per esempio per visualizzare se c'è un utilizzo di software P2P, per installare un IDS o un sistema di registrazione chiamate voip.
Il modo più semplice per fare tutto ciò è l'utilizzo di una features degli switch Cisco chiamata SPAN (switched Port Analyzer, chiamata anche port mirroring o port monitoring, Questa feature permette di sparare tutto il traffico che attraversa una o più porte o una o più Vlan, su una porta su cui possiamo metterci in ascolto o mettere in ascolto una macchina tipo IDS/IPS che faccia lo sniffing del traffico lo elabori e controlli eventuali tentativi di intrusione o traffico sospetto |
Nell'immagine lo sniffer è collegato direttamente a una porta dello switch, che è configurata per ricevere il traffico tra gli host a e b, questa porta è chiamata SPAN port Si possono mettere sotto monitoraggio una o più porte, il traffico di queste porte può essere Rx cioè ricevuto o Tx, cioè trasmesso oppure bidirezionale Both. La porta sorgente ha queste caratteristiche: - Può essere un qualsiasi tipo di porta, come ethernet, fastethernet, Gigabit Ethernet, Ether Chanel...
- Può essere monitorata da sessioni multiple di span, questo significa che il traffico può essere reindirizzato su più porte allo stesso tempo
- Non può essere una porta di destinazione
- Ciascuna porta deve essere configurata con la direzione del traffico da monitorare, Rx, Tx o Both. Nell'EtherChanel la direzione del traffico viene applicata a tutte le porte dello switch
- Le porte sorgenti possono essere sulla stessa o su differenti Vlan
- Quando si monitorizza una Vlan tutte le porte che si trovano in questa vlan vengono monitorate
Tutte le sessioni di SPAN o di RSPAN devono avere una porta di destinazione La porta di destinazione ha le seguenti caratteristiche: - La porta di destinazione si deve trovare nella stesso switch della porta sorgente (per le sessioni di local SPAN)
- La porta di destinazione può essere una qualunque porta fisica
- La porta di destinazione a differenza delle porte sorgenti può partecipare ad una sola sessione di SPAN alla volta. La porta di destinazione di una sessione di SPAN non può essere anche la porta di destinazione di una seconda sessione di SPAN
- Una porta di destinazione non può essere anche una souce port
- Una porta di destinazione non può essere un gruppo di EtherChannel
- La porta di destinazione può essere una porta assegnata ad un gruppo EtherChannel, in questo caso però la porta verrà automaticamente esclusa dal gruppo
- La porta di destinazione non trasmetterà alcun traffico a parte quello proveniente dalla sorgente delle SPAN, a meno che non è abilitato il learning questo caso lo switch invierà anche il traffico destinato agli host che sono in ascolto sulla destination port
- La porta di destinazione lampeggia Up/Down continuamente, questo per mostrare visivamente che la porta non è utilizzabile come porta di switching
- La destination port non partecipa allo SPANNING TREE quando lo SPAN è attivo
- Quando una porta è configurata come destinazione dello SPAN non partecipa a nessuno dei protocolli layer 2, come STP, VTP, CDP, DTP e PagP
- Una destination port che è sotto la vlan monitorata dallo SPAN è esclusa dalle source port
- La porta di destinazione riceve una copia di tutto il traffico che attraversa i sorgenti dello SPAN, se una porta è destinazione del traffico di troppe sorgenti può congestionarsi ed avere conseguenze anche sulle prestazioni delle porte sorgenti
Esempio: Monitorare il traffico della FastEthernet 0/9 (source port) sulla FastEthernet 0/15 (Destination port): SW2950#configure terminal
SW2950(config)#
SW2950(config)#monitor session 1 source interface fastethernet 0/9
SW2950(config)#monitor session 1 destination interface fastethernet 0/15
SW2950#show monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/9
Destination Ports: Fa0/15
SW2950# Ora per analizzare il traffico sulla porta di destinazione con il nostro pc dobbiamo configurare la nostra scheda di rete in promiscuous mode e utilizzare un programma di sniffing. I più conosciuti sono i seguenti:
|
