insertar analisador de trafico en la red

Miguel Amador L jokercl en gmail.com
Lun Dic 27 16:56:09 CLST 2004 

On Mon, 27 Dec 2004 16:11:00 -0300, Victor Hugo dos Santos
<victorhugops en cass.cl> wrote:
> Hello,
> 
> tengo actualmente, la siguiente estructura en la red:
> 
> Internet --- 192.168.1.1(GW) --- 192.168.0.0(red)
> 
> la idea, es incluir entre una de las redes (Internet y GW) o (GW y red) una maquina con 2 tarjetas de red, que filtre todos los paquetes..
> 
> hasta el momento ninguno drama... el problema principal esta en que NO SE DEBE de hacer cambio alguno tanto en los clientes/servidores y demás aparatos que existan por allá !!!!
> 
> obteniendo un esquema semejante a este
> (perdón, no soy muy bueno con estos monitos):
> 
> Inet --- GW -- Analizador ---  red
> o
> Inet --- Analizador --- GW --- red

Eso creo que es en Stealth Mode.... la otra opcion es en modo Mirror


> Estaba mirando en la red, y algo encontre sobre un tipo que sugeria hacer un puente >entre la tarjeta 1 y 2, mas no aporto mucho mas informacion que esta !!!!
seria como un bridge..



> mmmm... entiendo que se puede dejar en modo promiscuo una tarjeta de red para que escuche todo el trafico de la red....  ahora podría hacer el mismo (dejar una tarjeta en modo promiscuo), de manera que reproduzca lo que se escucho en la otra tarjeta ????
> 
> así, "creo" que podría incluir la nueva maquina en las redes, sin necesidad de cambios!!!!  o no ??
> 
> Alguien tiene alguna otra idea/sugerencia/información sobre el tema???
Colola la otra maquina con una tarjeta de red siquieres en modo Mirror i.e:


 Internet --------------[ HUB ] ------ 192.168.1.1(GW) --- 192.168.0.0(red)
                                |--------------192.168.1.2 (LIDS) 

Asumo que ha analizador de trafico te refieres a un NIDS? .. de todos
modos la idea de dejarlo tras un HUB es que el hub reparte los
paquetes en todas sus bocas, por lo que si dejas una segunda maquina
conectada a otra boca del hub en modo promiscuo , esta quedara
escuchando todo el trafico entre internet y el GW.. el resto ya es
tarea del Analizador las medidas que adopte frente a patrones de
trafico que detecte.
el hub + LIDS lo puedes meter tanto fuera (entre internet y GW ) como
dentro (entre GW y el Switch principal )

Internet -------------- 192.168.1.1(GW)------------[ HUB ]--[switch]
--- 192.168.0.0(red)
                                                                   
|-----192.168.0.254 (LIDS)

Yo hice la segunda,  la semana pasada para detectar un virus en una
red, que me estaba bloqueando una caja D-Link que hacia la funcion de
GW... esta se bloqueaba por un Virus en un par de estaciones, que
hacia algo asi como un SYN FLOOD...

como idea te cuento que se de dos formas de extraer informacion a
analizar de una red (sniffear), una es Arp Poissoning y la otra es
Promiscuos mode
  no se si en linux existan sniffer que hagan envenenamiento arp, ley
en alguna parte que ethercap lo permite pero de todos modos dejar un
analizador de trafico en ese modo provoca mucho ruido en la red y baja
de rendimiento, por lo que es menos recomendable que el modo
promiscuo, ya que este es mas pasivo.

Saludos
  Miguel


 
> gracias
> 
> --
> Victor Hugo dos Santos
> Linux Counter #224399
> Puerto Montt - Chile
> 
> "No dejes que el ayer te quite mucho del hoy"
>                 -- Will Rogers
> 
>

Más información sobre la lista de distribución Linux