Wednesday, April 25, 2012

SPAN, Port Mirroring ou Port Monitoring




        Hoje vamos falar de mais uma feature incrível dos devices Cisco. Esse assunto não é escopo de CCNA e sim de CCNP,porém, não é nada complicado e é muito importante.
  Imagina que você é Analista ou administrador de uma rede e alguém reclama de lentidão para acesso a um servidor ou coisa do tipo. Você acessa o switch em que esse servidor está conectado e verifica que realmente a interface em questão apresenta uma taxa altíssima de tráfego. Como saber se o tráfego é legítmo,por exemplo um backup sendo realizado na rede, ou é um ataque de DoS ou um vírus na sua rede?.
 Uma boa forma de validar a legitimidade do tráfego é através de um sniffer.
 Sniffers são softwares que possuem a capacidade de analisar o tráfego em um dado segmento e te mostrar quais os pacotes que estão trafegando nele. Existem equipamentos especializados que fazem isso,bem como softwares   proprietários, porém, temos ainda um ótimo software freeware que faz um execelente trabalho. Estamos falando do Wireshark. Proveniente no mundo Linux, esse software é estremamente eficiente e existe também para Windows.
   Pois bem, voce vai até o CPD,mais especificamente até o switch em questão com um notebook que possua um sniffer instalado e pretende analisar o tráfego. Qual a forma correta de se fazer isso ? Veja bem, se você espetar seu notebook a uma porta do switch, você irá escutar apenas o tráfego broadcast  do mesmo. Isso pode até ajudar no caso de um loop na rede ou algum outro problema.Porém, se a idéia for analisar um tráfego unicast, ou seja, um tráfego entre portas específicas, isso não vai funcionar. Como já devemos saber, o switch trabalha fechando um comunicação full duplex entre as portas, ponto a ponto,de forma que, apenas as portas envolvidas irão receber tráfego unicast. Essa é uma das vantagens de um switch sobre um Hub que inunda todas as portas, exceto aquela que originou o tráfgo. Em um Hub, se você espetar seu notebook com o Sniffer, perfeito,você "ouvirá" toda a comunicação entre os hosts. Porém, como estamos falando de um switch, isso não irá acontecer.
 Bem, você pode até desconectar o referido servidor do switch e espetar ele em um Hub, juntamente com seu notebook e ambos ao switch novamente, isso possibilitará que você "ouça" todo o tráfego que o servidor está recebendo e enviando.
 Entretando, essa é uma solução muito pouco nobre. Se estamos falando de switches Cisco, podemos usar uma feature muito bacana do IOS: SPAN, Port Mirroring ou Port Monitoring.

 Essa figura retirada do site da Cisco, mostra um exemplo de como podemos fazer o procedimento usando um Hub.






 

Fonte:http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml


Abaixo, o switch:



Muito bem, para que possamos, de forma elegante, intruzir um sniffer em nossa rede, escutar o tráfego que nos interessa sem ter que apelar para o já em extinção HUB, podemos e devemos usar SPAN.
 Com essa facilidade, nós dizemos ao Switch que enviei para uma terceira porta, todo o tráfego que está passando entre duas determindas portas.
   Vamos supor que nosso servidor está na porta 0/2 do switch, se comunicando com a porta 0/5,que pode ser a porta que possui saída para outro switch ou até mesmo para a internet. Vamos instalar nosso notebook com o sniffer na porta 0/1. Para as configurações, faremos o seguinte:

  
Switch(config)#interface fastethernet 0/1
Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5

Pronto. Com essas três linhas de comando, dissemos ao switch: Envie para a porta 0/1 uma cópia dos quadros (pacotes) que serão trocados entre as portas 0/2 e 0/5. Dessa forma, nosso sniffer poderá analisar todo esse tráfego.
 Essa feature pode ficar ainda mais bacana se você possui um ambiente de rede complexo e grande e não pretende ir até o local onde está o tráfego para fazer esse procedimento. Os switches cisco possibilitam que através de VLANs, você monitore de um switch uma porta que está em outro switch da sua rede. Porém, esse é um assunto que vamos deixar para um outro artigo.

 É isso ai, uma função importante, útil e bem simples.




No comments:

Post a Comment