insertar analisador de trafico en la red

[Germán Poó Caamaño]

El mar, 28-12-2004 a las 11:44 -0300, Horst von Brand escribió:
> =?ISO-8859-1?Q?Germ=E1n_Po=F3_Caama=F1o?= <gpoo en ubiobio.cl> dijo:
> > El lun, 27-12-2004 a las 21:26 -0300, Horst von Brand escribió:
> > > Miguel Amador L <jokercl en gmail.com> dijo:
> > > 
> > > [...]
> > > 
> > > > No, los NIDS se colocan en dos modalidades Stealth Mode y Mirror
> > > > Mode...de todas maneras existen Switch que traen una puerta
> > > > configurada para actuar en mirror modo, enviando a ella todo el
> > > > trafico que pasa por las otras bocas.
> > > 
> > > Con lo que transformas el switch en un hub (para efectos practicos).
> > 
> > No precisamente.  La idea no es que todos los puertos del switch queden
> > en modo espejo, sino simplemente uno (o un conjunto menor), el cual 
> > solo retransmite el trafico de otro puerto, pero no al reves.
> 
> Si es de/a otros puertos, obviamente estos no pueden usarse simultaneamente
> == hub.

Me refiero a que solo es trafico de ida.  Es decir, en el port X se 
copia todo el trafico de Y; pero no viceversa.  El equipo detras 
de Y simplemente no tiene comunicacion con a traves de ese puerto,
no llega a ningun equipo en X, etc.  Eso no es un hub.

Aunque se podria colocar un hub conectado al puerto X, y de alli
conectar la red y los dos equipos; pero lo unico que se lograra
es perder rendimiento (un switch con espejo igual tendra una
backplane mas alto que un hub) y eventualmente el equipo que
hace analisis de trafico podria ser "detectado" o podria meter
ruido innecesariamente. (salvo que el cable de red solo conecte
los cables Rx).

-- 
Germán Poó Caamaño
http://www.ubiobio.cl/~gpoo/