Analizando nuestra red II

Como vimos en el anterior post, la manera habitual analizar el tráfico de nuestra red pasa por configurar la interfaz de uno de nuestros switches en modo SPAN (o R-SPAN) y reenviar el tráfico para su posterior análisis mediante un analizador de red o un IDS.

Aunque esta solución suele ser la habitual, y suficiente en la mayoría de casos, presenta una serie de problemas, como pueden ser la limitación del número de interfaces (o VLANs) que podemos configurar en modo SPAN, y la carga de CPU asociada a la captura y envío del tráfico, incluyendo la carga generada al propio analizador de red, puesto que recibe todo el tráfico que atraviesa la interfaz, sea interesante o no para nuestra captura.

Una posible solución a estos problemas es usar la funcionalidad VACLs (Vlan ACLs), también llamada VLANs Access Maps o VLANs Maps, disponible en algunos dispositivos Cisco de alta velocidad (como la serie Cisco 6500) o un dispositivo con una tarjeta PFC (Policy Feature Card) integrada. VACLs nos permite realizar el filtrado y la redirección de tráfico para su posterior análisis, así como capturar flujos de tráfico específicos, de forma que podemos capturar y analizar sólo los patrones de tráfico interesantes (sin cargar la CPU), filtrando por información presente en las capas 2, 3 y 4, siendo los campos de filtrado más habituales los siguientes:

  • Dirección IP origen o destino
  • Puerto origen o destino
  • Combinación de direcciones IP y puertos

La configuración y el funcionamiento de VACLs es similar a las listas de acceso de los routers Cisco, pero sin limitaciones basadas en la dirección del tráfico, puesto que nos permite capturar todo el tráfico de la interfaz, tanto ingress como egress. El primer paso es definir una lista de control de acceso permitiendo el tráfico interesante. A continuación se crea una VLAN Access Map asociando la lista de acceso definida y la acción a realizar y se asocia el Access Map a la VLAN que queremos analizar. Finalmente, se configura el puerto destino por donde reenviar el tráfico capturado.

Aparte de la funcionalidad descrita, VACLs también nos permite filtrar de forma cómoda, el tráfico dentro de una misma VLAN, similar al funcionamiento de Private VLAN (PVLAN) visto en entradas anteriores, pudiendo establecer políticas de filtrado dentro de nuestra misma red de área local.

Trackbacks

  1. […] Analizando nuestra red II (…) Una posible solución a estos problemas es usar la funcionalidad VACLs (Vlan ACLs), también llamada VLANs Access Maps o VLANs Maps, disponible en algunos dispositivos Cisco de alta velocidad… […]