Análisis de tráfico sospechoso

La función Analizador de puertos con switches (SPAN) de los switches Cisco es un tipo de puertos reflejados que envía copias de la trama que ingresa a un puerto, desde otro puerto del mismo switch. SPAN permite que los administradores o los dispositivos recopilen y analicen el tráfico.

Como se muestra en la Figura 1, SPAN suele implementarse para enviar tráfico a dispositivos especializados como:

• Analizadores de paquetes: usan software como Wireshark para capturar y analizar el tráfico para solucionar problemas. Por ejemplo, un administrador puede capturar el tráfico destinado a un servidor para solucionar problemas de funcionamiento insatisfactorio de una aplicación de red.

• Sistemas de protección contra intrusiones (IPS): Los IPS se centran en el aspecto de seguridad del tráfico y se implementan para detectar ataques a la red mientras suceden, al enviar alertas o bloquear los paquetes maliciosos durante el ataque. Los IPS suelen implementarse como servicio en un router ISR G2 o con un dispositivo exclusivo.

Mientras que los analizadores de paquetes suelen usarse para solucionar problemas, el IPS busca patrones específicos en el tráfico. A medida que el flujo de tráfico pasa por los IPS, se analiza el tráfico en tiempo real y se toman medidas al detectar patrones de tráfico malicioso.

Las redes modernas son entornos conmutados. Por lo tanto, SPAN es fundamental para un funcionamiento eficaz de IPS. SPAN puede implementarse como SPAN local o SPAN remoto (RSPAN).