Nesse vídeo explicamos as demandas para a captura de pacotes, função dos softwares e configuração do port-mirroring em Switches ArubaOS e mais…
SPAN
Switches ArubaOS – Espelhamento de porta / port-mirroring / SPAN
O espelhamento de porta (SPAN – Switch Port Analyzer) é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma porta para uma outra porta do Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede como por exemplo, identificação da comunicação de uma aplicação, troubleshooting, direcionar o tráfego inúmeras atividades de segurança como IDS etc.
Configurando o espelhamento de porta
Crie um “mirror” e adicione a interface a ser usada como porta para captura de pacotes. Neste caso a porta 9 será usada para receber os pacotes duplicados.
mirror 1 port 9
! Criando o Grupo 1 para o Espelhamento, vinculando a porta 9 para recebimento do tráfego capturado
Selecione a interface que terá o tráfego duplicado e vincule ao processo do mirror. O tráfego dessas portas será copiado para a porta mirror para captura. Neste exemplo, a interface ou porta Ethernet 1 duplicará seu tráfego para o “mirror 1”.
interface 2
monitor all both mirror 1
! Configurando a Porta de origem (2) que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both para o mirror 1
Conecte um notebook à interface 9 no switch e use o wireshark, TCPDUMP ou o cliente PCAP de sua escolha para analisar o tráfego.
Vídeo: Port mirroring – Espelhamento de porta
O espelhamento de porta é uma técnica que permite que o Switch efetuar a cópia dos pacotes de uma porta para outra porta.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede, como por exemplo, para identificação de vírus, acessos “estranhos”, comportamento de aplicações, serviços, etc.
Switches HPN: Configurando espelhamento de VLANs (Traffic Mirroring)
O espelhamento de VLANs é uma técnica que permite que o Switch efetue a cópia dos pacotes de uma VLAN para uma porta do Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento de alguma rede como por exemplo, para identificação de vírus, acessos “estranhos”, etc.
No cenário abaixo efetuaremos a cópia do tráfego da vlan 99 do Switch para o Servidor de Análise. A comunicação da VLAN 99 com qualquer host ou servidor da rede não será afetada pois o Switch direcionará apenas a cópia do tráfego!
Configuração
#
vlan 99
#
traffic classifier TRAFEGO operator and
if-match any
! Criando a política para dar match no tráfego, nesse caso, qualquer tráfego (any)
! ( é possível inclusive vincular uma ACL para filtrar o tráfego)
#
traffic behavior ESPELHAR
mirror-to interface Ethernet1/0/7
! Criando o behavior para o espelhamento [para a interface Ethernet1/0/7]
#
qos policy ESPELHAMENTO
classifier TRAFEGO behavior ESPELHAR
! Vinculando o tráfego com o comportamento na policy
#
qos vlan-policy ESPELHAMENTO vlan 99 inbound
! Vinculando a policy para a vlan 99
#
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego.
Obs: No post http://www.comutadores.com.br/switches-3com-4500-configurando-o-espelhamento-de-porta-port-mirroring/ demonstramos a configuração para o espelhamento de porta.
Switches 3Com 4500 – Configurando o Espelhamento de Porta ( Port Mirroring)
O espelhamento de portas é uma técnica que permite que o Switch efetue a cópia dos pacotes de rede de uma porta para outra em um Switch.
Essa técnica é bastante utilizada quando precisamos analisar o comportamento de algum servidor, como por exemplo, para identificação de vírus, acessos “estranhos”, etc.
No cenário abaixo efetuaremos a cópia do tráfego da porta do Switch que está conectada ao Roteador de Internet (como origem) para o Servidor de Análise ( como destino). A comunicação com a Internet não será afetada pois o Switch direcionará apenas a cópia!
Configuração
#
mirroring-group 1 local
! Criando o Grupo 1 de portas para o Espelhamento
#
interface Ethernet1/0/3
stp disable
! desabilitando o Spanning-Tree da porta para não interferir na coleta
mirroring-group 1 monitor-port
!Configurando a porta para monitorar o tráfego da porta mirroring (no exemplo a porta Ethernet1/0/1)
#
interface Ethernet1/0/1
mirroring-group 1 mirroring-port both
! Configurando a Porta de origem que terá seu tráfego copiado no sentido inbound (entrada) e outbound (saída); comando both
#
Pronto! Configurações efetuadas… 🙂
No servidor de coleta poderíamos utilizar os Softwares TCPDump, Wireshark, etc para monitorar o tráfego. No exemplo abaixo, “printamos” a tela do software NTOP (freeware) com estatisticas da coleta!
Simples, agora é só atuar no tráfego e/ou comportamento identificados na rede….
Até logo!