Cables de s´lo recepci´n y ‘Network o o Taps’

Diego Gonz´lez G´mez a o diego (at) dgonzalez net
Junio, 2003 ´ Ultima actualizaci´n: Mayo de 2006 o
Copyright c 2003-2006 Diego Gonz´lez G´mez. Madrid (Spain). a o HTM Version Available1 Resumen Una de las desventajas de utilizar un ‘sniffer’ (rastreador) es que puede ser detectado por otras m´quinas. Existen varias formas de evitar la a detecci´n, como configurar el rastreador sin una direcci´n IP. Sin embaro o go, ninguna de ellas es tan efectiva como el uso de cables de s´lo recepci´n o o (‘receive-only cables’) o cables ‘sniffing’. Estos cables permiten a un ‘sniffer’ monitorizar el tr´fico de red sin ser detectado. Por ello, han demosa trado ser especialmente utiles en entornos con Sistemas de Detecci´n de ´ o Intrusiones (IDS), o tecnolog´ ‘honeypots’ (como las ‘Honeynets’ (Redes ıas Trampa)).

Palabras clave: cables s´lo recepci´n, rastreador, network taps, cables o o unidireccionales, sniffer, puertos span, puertos espejo.

1.

Introducci´n o

Un sniffer puede ser una excelente herramienta para comprender y solucionar problemas de tr´fico de red, aunque tambi´n puede ser aprovechado por un a e atacante para robar informaci´n cr´ o ıtica. El amplio uso de los NIDS (Sistemas de Detecci´n de Intrusiones de red) o desde mediados de los a˜os noventa, y la creciente popularidad de las redes n trampa han popularizado el uso de los sniffers. Actualmente, estas herramientas juegan cada vez un papel m´s importante en materia de seguridad de redes. a Los cables UTP (Par Trenzado no Apantallado) de s´lo recepci´n (o unidio o reccionales) son cables RJ45 est´ndar modificados para permitir exclusivamente a la se˜al de recepci´n de datos. De esta forma, las capacidades de comunicaci´n n o o se modifican en el nivel f´ ısico, raz´n por la que este m´todo es tan efectivo. o e Adem´s, esta soluci´n es barata y f´cil de construir, y al no interferir en el a o a tr´fico, no tiene impacto alguno sobre el rendimiento de la red. a En este art´ ıculo se explica c´mo construir estos cables en pocos y sencillos o pasos, y tambi´n se describen los Network Taps (dispositivos de escucha de red). e
1 http://www.dgonzalez.net

1

Hay ocho cables agrupados en cuatro pares. Los cables cruzados se utilizan para conectar: PC a PC. este art´ o ıculo trata sobre cables UTP. Fundamentos Esquemas de cableado Como ya se coment´. concentrador a concentrador. seg´n colores. conmutador a conmutador. Los cables directos pueden ser utilizados para conectar un PC o un router a un switch (conmutador) o hub (concentrador). La figura 2 ilustra los patillajes de un conector a RJ45. es fundamental comprender los esquemas de cableado est´ndares. 2. pero tambi´n se pueden utilizar a e cables cruzados siempre que la se˜al de transmisi´n del sniffer sea modificada n o de la misma forma. Los modelos de cables de s´lo recepci´n de este o o documento est´n basados en cables directos. con conectores RJ45. as´ que es importante respetar los c´digos de colores. Figura 1: Vista frontal de un conector RJ45 Figura 2: Normas EIA/TIA 568A y 568B La figura 3 describe qu´ esquemas de cableado son necesarios para hacer e cables directos (straight through) y cruzados (crossover ). conmutador a concentrador. [1] .1. Cada par tiene un nivel de trenzado diferente que puede afectar a la se˜alizaci´n en altas velocidan o des. Los pares est´n u a trenzados para limitar los efectos del ruido e interferencias. Los ocho o cables son utilizados en Ethernet 1000Base-T.2 FUNDAMENTOS 2 2. N´tese que los pares ı o o 1 (azul) y 4 (marr´n) no son utilizados en Ethernet 10/100Base-T. router a router. Antes de explicar los diferentes modelos.

Esto evita que el dispositivo n o conectado pueda reconocer cualquier dato enviado por el sniffer manteniendo.2. Dos niveles representan un bit. 3. Una transici´n bajo alto a o la mitad del bit representa un ‘1’. La figura e 4 ilustra algunos ejemplos de codificaciones. No existe componente continua (DC). sin embargo. 10Base-T utiliza codificaci´n Mano chester para la transmisi´n de las se˜ales: la transici´n ocurre en la mitad de o n o cada per´ ıodo de bit.3 ´ ´ CABLES DE SOLO-RECEPCION 3 Figura 3: Esquemas de cableado para cables directos y cruzados (10/100Base-T) 2. A continuaci´n se explican algunos modelos de cables UTP de s´lo recepo o ci´n o sniffing-cable (cable de rastreo). 5 UTP Tasa transferencia Codificaci´n o Se˜ alizaci´n n o Cable Cuadro 1: Codificaciones y se˜alizaciones Ethernet n 3. 100-BaseTX utiliza codificaci´n 4B/5B. 10Base-T 10 Mbps Manchester Dif. el enlace activo. Una transici´n alto bajo a la mitad del bit reo presenta un ‘0’. 5v Cat. Codificaci´n o Las Ethernet LANs (Redes de ´rea local Ethernet) utilizan se˜ales digitales a n para enviar datos entre dispositivos de red. donde cada conjunto de 4 bits (nibo ble) se transmite codificado como s´ ımbolos de 5 bits. Utiliza voltajes positivos y negativos. Todos estos cables est´n dise˜ados para o a n funcionar con un concentrador (modo half-duplex ).1. Cables de s´lo-recepci´n o o Modelos El objetivo de un cable UTP de s´lo recepci´n consiste en introducir errores o o en la se˜al de transmisi´n de datos del sniffer. El modelo de se˜alizaci´n n o consiste en una t´cnica multinivel de tres niveles denominada MLT-3. . 3 UTP 100Base-TX 100 Mpbs 4B/5B MLT-3 Cat.

y nunca recibir´ ıamos todo el tr´fico como con un concentrador. este modelo utiliza un componente electr´nico para o introducir un alto nivel de errores en la l´ ınea. Estos puertos especiales reciben una copia del tr´fico de determinados puertos del conmutador. [2] Figura 5: Esquema de cableado del modelo A . Modelo A Como se puede observar. para m´s detalles. y no redirige el ıo tr´fico a todos los puertos (salvo cuando carece de la direcci´n de destino en su a o tabla de direcciones).1. No a obstante.2 ‘Taps frente a puertos a a span’. existen conmutadores con puertos span/mirror (espejo). Lea el apartado 4.3 ´ ´ CABLES DE SOLO-RECEPCION 4 Figura 4: Codificaciones Ethernet Es importante resaltar que estos modelos no est´n dise˜ados para funcionar a n con conmutadores porque en ese caso no ser´ de gran utilidad. Habr´ que utilizar t´cnicas de ARP spoofing (falseamiento ıa e de direcci´n ARP) o similares para poder interceptar otras conversaciones en un o conmutador. Un conmutador ıan toma decisiones de reenv´ utilizando direcciones hardware. a 3.1. a de forma similar a como ocurre en un concentrador. pero pueden desbordarse si reciben m´s tr´fico del que soportan.

enchufado a un concentrador de 10/100 Mbps. Figura 6: Simulaci´n de se˜ales en el modelo A o n 1 He probado este modelo en una LAN Ethernet. Se podr´ utilizar condensadores de ıan mayor capacidad para reducir este efecto. pero el enlace no se mantuvo activo. e n ı actuando como un concentrador. Modelo B Una forma m´s sencilla de hacer un cable de s´lo recepci´n consiste en a o o conectar los pines 1 y 2 (par n´mero 1) del lado de la LAN a los pines 3 y 6 u (par n´mero 2) del mismo lado respectivamente. manteniendo al mismo tiempo el enlace activo. Esta es ıa la m´ ınima frecuencia obtenida utilizando la codificaci´n Manchester (con una o secuencia alternada de ‘0s’ y ‘1s’).1. el valor del condensador deber´ ser de 150p(F). De acuerdo con la se˜al u n 10Base-T. provocadas por el condensador. con respecto a la original (rojo. ıa Este m´todo deber´ introducir suficientes errores en la se˜al de transmie ıa n si´n. 3.3 ´ ´ CABLES DE SOLO-RECEPCION 5 El condensador act´a como un filtro paso-alto. 3. Las p´rdidas a e de potencia de la se˜al original.3. La figura 6 representa una o simulaci´n del aspecto aproximado que tendr´ la se˜al de salida (en color azul. la frecuencia de corte del filtro deber´ estar sobre los 5Mhz. o ıa n con tri´ngulos). La resistencia es de R = (Rsource+Rload) = 200 ohms. la frecuencia es de 5Mhz.1. con cuadrados). Este modelo funcion´ con un un concentrador o de 10/100 Mbps sin problemas. Podemos determinar el valor del condensador de la siguiente forma: C= 1 2πRf En una Ethernet de 10 Mbps. Modelo C El modelo B puede ser mejorado con tan s´lo cambiar el orden de las coneo xiones. Por lo tanto. [3] u Este m´todo devuelve cualquier se˜al enviada desde la LAN a s´ misma.2. pueden hacer n que no sea detectada por el concentrador. .

el concentrador utilizado en las pruebas fue capaz de reconocer la . haci´ndola incomprensible a e al extremo de la LAN pero asegurando que el enlace permanece activo. la se˜al n devuelta a la LAN est´ invertida.4. 3.3 ´ ´ CABLES DE SOLO-RECEPCION 6 Figura 7: Esquema de cableado del modelo B Figura 8: Esquema de cableado del modelo C La figura 8 describe el esquema de cableado para el modelo C. Este m´todo asegura que el enlace est´ activo a e e y deber´ introducir suficientes errores en la se˜al de transmisi´n como para ıa n o hacerla incomprensible. este modelo tambi´n funciona. n o La seal enviada desde el sniffer est´ invertida.1. este m´todo es te´ricamente mejor ya que modifica la se˜al devuelta e o n a la LAN. Sin e embargo. Simplemente ´ a invierte el orden de los pines de la se˜al de transmisi´n de datos. Si conectamos los pines 1 y 2 del lado de la LAN a los pines 6 y 3 respectivamente. Modelo D El ultimo modelo es incluso m´s sencillo que los tres anteriores. Por desgracia. Como el modelo B.

Ejemplos de implementaci´n o El escenario t´ ıpico para el uso de estos cables es descrito en la figura 10. No importa si a la LAN es 10Base-T o 100Base-TX. Trabaa jan a nivel 1 de OSI.2. a Figura 10: Monitorizaci´n con concentrador y cable de s´lo recepci´n o o o 4. El mayor inconveniente es que s´lo pueden trao bajar en modo half-duplex. por lo que no realizan ninguna funci´n de redirecci´n o o o encaminamiento del tr´fico. conectados a un concentrador por el que circula el tr´fico a analizar. el m´ximo rendimiento de un concentrador a est´ en torno al 40 % de la velocidad ideal. Los Network Taps (dispositivos de escucha de red) son dispositivos que permiten examinar el tr´fico de red sin intervenir en el flujo de datos. ‘Network Taps’ La alternativa. siempre que utilicemos un concentrador que soporte la velocidad requerida. TAP significa ‘Test Access Port’ (Puerto de Acceso de Pruebas). De hecho. a . n 3.4 ‘NETWORK TAPS’ 7 Figura 9: Esquema de cableado del modelo D se˜al enviada por el sniffer.

) Al parecer. Datacom Systems Inc. los Network Taps son una soluci´n m´s costosa que los cables o a UTP de s´lo recepci´n. Net Optics [4] ofrece Network Taps PCI para la monitorizaci´n full-duplex o de redes 10/100 Mbps a trav´s de una unica interfaz de red (NIC). Hay varias compa˜´ que desarrollan estos productos. Esquemas El diagrama 11 describe dos formas de representar el esquema de conexiones de un Tap. regeneran la se˜al. Por lo tanto. Esta soluci´n o o requiere dos interfaces de red para analizar el tr´fico (cada una recibe un sentido a de la comunicaci´n). Es interesante mencionar que todos los fabricantes de Taps afirman que sus productos son seguros ante fallos (el enlace no se interrumpe con p´rdidas de e tensi´n). Tenga presente que la potencia de la se˜al de un segmento o n de red no est´ preparada para ser compartida por m´s de dos interfaces de red a a (origen y destino). a que son los que normalmente se utilizan en redes Ethernet. Inc. De hecho. Figura 11: Esquema de conexiones de un TAP Un Tap captura el tr´fico en ambos sentidos y lo env´ a un dispositivo de a ıa monitorizaci´n. Network Critical [6]. Esto es s´lo parcialmente cierto. Por ejemplo. [4]. podemos deducir f´cilmente los esquemas de la figura 12. Finisar [7]. Spanning tree. [9]. a Construir un Tap de estas caracter´ ısticas es trivial. los 4x4 Taps son los unicos que ofrecen ‘cero’ p´rdidas de paquetes ante fallos ´ e nıas de alimentaci´n. e ´ 4. Securicore [11] es una de las compa˜´ que distribuye estos o Taps. etc.1. Por lo tanto. con un cable directo [12]. Intrusion Inc. Net Optics. e o En la mayor´ de los entornos esto puede ser aceptable. . pero en una red de ıa alta disponibilidad puede provocar efectos importantes como la renegociaci´n o de los enlaces entre routers y switches (VPN. pero cuentan con muchas m´s ventajas. o o a son m´s robustos y profesionales. Como a se puede observar en la figura 11. ya existen instrucciones que indican c´mo hacerlo. Comcraft [10] son algunas de ellas. suelen tener b´fers para evitar p´rdidas de a u e datos. ya que existe un per´ o o ıodo de intercambio de entre 5 y 10 ms (una probabilidad de p´rdida de 0 ´ 1 paquetes). si aplicamos este esquema de conexiones a cables UTP.4 ‘NETWORK TAPS’ 8 Obviamente. n o etc. pueden monitorizar comunicaciones de fibra ´ptica. desarrollados por Network Critical. [8]. nıas Shomiti Systems [5]. como un IDS o un generador de estad´ o ısticas de tr´fico. se obtiene una l´ ınea de datos por cada sentido del tr´fico. este dise˜o puede provocar p´rdidas de se˜al n e n (y de datos).

1. Taps de regeneraci´n o La idea de los Taps de regeneraci´n (‘Regeneration Taps’).2. de Net Optics o [4].4 ‘NETWORK TAPS’ 9 Figura 12: Esquemas de conexiones para TAPs Ethernet Otras soluciones para analizar el tr´fico con Taps se comentan m´s adelante a a en el apartado 4. Por ejemplo. adem´s de capturar tr´fico. se a a a podr´ llevar a cabo detecci´n de intrusiones y an´lisis de protocolo. El 4x4 Critical Tap en la figura 14 combina cuatro Taps individuales. u o ahorrando en costes y espacio. Los Taps de regeneraci´n pueden ser utilizados en casos donde es necesario o analizar tr´fico de m´s de una forma y con diferentes m´quinas. o de Gigabit-LX a Gigabit-SX. Por ejemplo. Figura 13: Tap de regeneraci´n o Otra forma de implementar un Tap de regeneraci´n es utilizando dos o m´s o a Taps y disponerlos en una daisy-chain (cadena de margarita). y puede ser utilizado .3 ‘Ejemplos de Implementaci´n’. n 4. Act´an como varios Taps combinados en un s´lo dispositivo. o 4.1. Taps de adaptaci´n o Los Taps de adaptaci´n (‘Adaptive taps’) est´n dise˜ados para hacer cono a n versiones de se˜ales. consiste en generar m´ltiples flujos de tr´ficos de red a partir de un unico u a ´ punto de acceso.1. La figura ıa o a 13 ilustra este concepto. existen Taps que n a a convierten se˜ales de Gibabit-TX a Gibabit-SX.

permitiendo el an´lisis mediante una unica interfaz de red. Aunque es posible hacer esto tanto con Taps de fibra o cobre. pero hay diferencias importantes entre ambas a tecnolog´ [14]: ıas 1.2. para poder monitorizar el tr´fico de red es a necesario tener dos interfaces de red. Ni la fragmentaci´n ni la regeneraci´n introducen a o o retrasos o cambian el contenido de la estructura de los paquetes de informaci´n. cada sentido del tr´fico es una se˜al de datos a n que hay que analizar.1. o NIPSs (Sistemas de Prevenci´n de Ino trusiones). eliminando aquellas conexiones que pueden ser hostiles. es que reunen ambas se˜ales de datos en una n sola. Esta caracter´ ıstica lo hace especialmente util en escenarios con NIDSs ´ con capacidades de respuesta activa.3. Integridad del tr´fico: El dispositivo conectado al Tap recibe el mismo a tr´fico que si estuviera en l´ a ınea. 4. Taps frente a puertos span (espejo) Los puertos de un Tap y los puertos span de un conmutador se utilizan para monitorizar tr´fico de red. La novedad de estos Taps (‘Aggregation Taps’) ente otras caracter´ ısticas. Por lo tanto. de forma excepcional. Taps de agregaci´n o Como vimos en la figura 11. o . incluyendo todos los errores. El Aggregationa ´ TAP de Network Critical [11] permite adem´s. Ver figura 15 para m´s detalles. los Taps de fibra necesitan m´s cuidados con la p´rdida de se˜al y deben ser a e n ordenados seg´n la relaci´n de separaci´n (split ratio) adecuada para preservar u o o la integridad del flujo de datos. Figura 14: Taps de regeneraci´n mediante Taps individuales o 4. inyectar a paquetes TCP RESET en la red.4 ‘NETWORK TAPS’ 10 de esta forma.

se pueden dejar permanentemente en l´ ınea sin afectar al tr´fico. si deseamos vincular las interfaces f´ ısicas eth1 y eth2 a la interfaz l´gica bond0 con direcci´n IP 192.3. Sensor con dos interfaces de red La figura 15 representa una forma de analizar tr´fico.4 ‘NETWORK TAPS’ 11 Figura 15: Monitorizaci´n pasiva de red o Por otra parte. 3.254/24: o o . a a por lo que se perder´ informaci´n. n e o Adem´s. disminuyendo su rendimiento. 4. y errores de nivel 1 y 2 son normalmente descartados por el conmutador. Adem´s de las a a interfaces. Retrasos: Los Taps dejan pasar los datos en modo full-duplex a la velocidad de la l´ ınea sin afectar al tr´fico. el acceso al tr´fico del conmutador est´ limitado por la capacidad a a a del puerto span.1. a Los paquetes de red da˜ados. A a a continuaci´n se describen tan s´lo un par de ejemplos. para poder ver el tr´fico a o a full-duplex de un enlace de 100 Mbps. un puerto span de un conmutador no ve todo el tr´fico. Por ejemplo. Peor a´n. Recursos: Como los Network Taps son dispositivos pasivos. o el controlador de red de Linux bonding.168. Por ejemplo. es necesario instalar alg´n tipo de software que permita combinar los u datos de ambas interfaces f´ ısicas en una unica intefaz l´gica. u o ıa e introduciendo retrasos al convertir la se˜ar de el´ctrica a ´ptica. Ejemplos de implementaci´n o Hay muchas formas de implementar an´lisis de tr´fico de red con Taps. Se puede utilizar ´ o por ejemplo el software Sun Trunking [13]. los puertos span consumen recursos del conmutador. la arquitectura software de algunos conmutadores de bajo nivel introducen retrasos al copiar los paquetes para los puertos span.3. paquetes de tama˜o por debajo del m´ n n ınimo. En este ultimo caso primero hay que compilar el controlador como ´ m´dulo. 2. dicho puerto descartar´ paquetes. a Por el contrario. o o 4. una para cada sentido del tr´fico. utilizando un sensor a con dos interfaces de red. el puerto span debe tener una capacidad de hasta 200 Mbps. en muchos casos la informaci´n se env´ a trav´s de un puerto gigabit.0. y luego combinar las interfaces de red f´ o ısicas en una interfaz l´gica o (bond0). a Por el contrario. Si el tr´fico es excesivo.

[root@tap root]# ifenslave bond0 eth2 The interface eth2 is up. [root@tap root]# ifconfig bond0 Link encap:Ethernet HWaddr XX:XX:XX:78:7F:C5 inet addr:192.0.255.168.0.0 Kb) Interrupt:11 Base address:0x3400 Link encap:Ethernet HWaddr XX:XX:XX:78:7F:C5 inet addr:192.0.0 b) TX bytes:0 (0.168.255 Mask:255.0.168.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:18863 errors:0 dropped:0 overruns:0 frame:0 TX packets:18863 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1287600 (1.255.0 b) TX bytes:0 (0.1.10 Bcast:192. shutting it down it to enslave it.254 Bcast:192.0 b) Interrupt:11 Base address:0xd400 Link encap:Local Loopback inet addr:127.255.255.255.0 UP BROADCAST RUNNING NOARP PROMISC SLAVE MULTICAST MTU:1500 Metric:1 RX packets:6 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:444 (444.255 Mask:255.254/24 brd + dev bond0 [root@tap root]# ifconfig eth1 promisc -arp up [root@tap root]# ifconfig eth2 promisc -arp up [root@tap root]# ifconfig bond0 promisc -arp up [root@tap root]# ifenslave bond0 eth1 master has no hw address assigned.4 ‘NETWORK TAPS’ 12 [root@tap root]# modprobe bonding [root@tap root]# ip addr add 192.255.0.254 Bcast:192.0.0.255 Mask:255.0.2 Mb) eth1 eth2 lo .168.0 b) Interrupt:9 Base address:0xd800 Link encap:Ethernet HWaddr XX:XX:XX:78:7F:C5 inet addr:192.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:151 errors:0 dropped:0 overruns:0 frame:0 TX packets:113 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:69180 (67.0 UP BROADCAST RUNNING NOARP PROMISC SLAVE MULTICAST MTU:1500 Metric:1 RX packets:6 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:444 (444. shutting it down it to enslave it.255.255 Mask:255.168.254 Bcast:192.2 Mb) TX bytes:1287600 (1.0 UP BROADCAST RUNNING NOARP PROMISC MASTER MULTICAST MTU:1500 Metric:1 RX packets:12 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:888 (888.0.168.1 Mask:255.0.168. getting one from slave! The interface eth1 is up.168.168.255.1.0 b) TX bytes:0 (0.0.5 Kb) TX bytes:17418 (17.0 b) eth0 Link encap:Ethernet HWaddr XX:XX:XX:77:02:13 inet addr:192.

o 4. Utilizando un span-port de un conmutador Por otra parte.3. Balanceo de carga.txt del c´digo fuente de Linux. Como bond0 es una intero o faz l´gica. Netoptics tambi´n ofrece una detallada gu´ de instalaci´n [17] para uno e ıa o de sus Gigabit Taps de fibra.3. La figura 17 indica c´mo implementar este tipo de configuraci´n o o [16]. de Jeff Natham [15]. Describe c´mo analizar o tr´fico de red utilizando un puerto span de 100 Mbps o 1000 Mbps. Se puede leer m´s informaci´n sobre bonding en el fichero a o Documentation/networking/bonding. a Figura 16: An´lisis con ‘Network Tap’ y puerto ‘span’ de un conmutador a 4. Figura 17: An´lisis de tr´fico de alta velocidad a a .2.4 ‘NETWORK TAPS’ 13 No hace falta decir que el soporte ARP est´ deshabilitado debido a que a no es necesario en un dispositivo de s´lo recepci´n.3. si tenemos un conmutador con puertos span. M´ ltiples IDSs u Cuando se monitoriza tr´fico de alta velocidad (Gigabit en fibra ´ptica o a o mejor) es recomendable utilizar m´ltiples sistemas IDS y balancear la carga u entre ellos. o para enviar alertas a una consola central. podemos probar o la implementaci´n de la figura 16. La interfaz eth0 puede ser utio lizada para controlar remotamente el sniffer. puede ser utilizada por tcpdump.

Available from: http://www. Network Taps [online].com/solutions/overview.com/ [11] Securicore Inc.finisar. 2005].ca/critical taps/ [12] Peters. Taps and Splitters [online].html [2] Sam Ng.netoptics.net/shomiti/century-tap.com/products/pdf/taps-and-span-ports. Gigabit Ethernet. Span Ports or Port Mirroring [online]. [cited 20 May. OneWayEthernet.systemnews. Referencias [1] Conectivity Knowledge Platform. es necesario contar con dispositivos profesionales que tengan facilidades de escalabilidad.html [6] Network Critical Solutions Limited Critical TAPs [online]. Inc. and other high speed LANs [online]. Available from: http://www. como las redes corporativas que poseen grandes cantidades de ordenadores. Post to the ShmooGroup [online]. Network Taps. Available from: http://www. 2005]. Paul. [cited 20 May. 2005]. Inc. 2005]. 2001. Sun Trunking 1.org/docs/tap/ [13] Sun. La necesidad de monitorizar y analizar tr´fico de red ha aumentado y lo a continuar´ haciendo.com/ieee8023. Available from: http://www. [cited 20 May. 2005]. Construction and Use of a Passive Ethernet Tap [online].pdf . Available from: http://www. Available from: http://sun. Ethernet (IEEE802. Available from: http://ckp. 2005]. Available from: http://www. Sin embargo. 2005]. Espero que este art´ o ıculo haya descubierto al lector algunas alternativas que se adapten a su entorno.spack. Post to the ShmooGroup [online].intrusion.comcraftfr. [cited 20 May. Conclusiones Los cables UTP de s´lo recepci´n son baratos y una forma sencilla de moo o nitorizar peque˜as redes caseras y de PYMES.com/samngms/sniffing cable/. [cited 20 May.geocities. [online]. Inc. Network Analysis tools for Fast Ethernet.shomiti. [cited 20 May. [cited 20 May.asp [9] Datacom Systems Inc.php [8] Intrusion.asp [5] Shomiti Systems. [cited 20 May.made-it. cuando las redes n a examinar son mayores. Network Taps vs. Jan.com/articles/66/2/sw/10639 [14] Net Optics. Critical Network Taps [online]. Esto se debe tanto a la necesidad de mejorar la seguridad a como de conocer mejor nuestras propias infraestructuras IT. [cited 20 May. [cited 20 May.asp [10] Comcraft LAN & WAN Test equipment [online]. 2004 [cited 20 May. Switched Ethernet.com/products/default. [3] Holman. 2005]. How to make a sniffing (receive-only) UTP cable. 2005]. Se deben utilizar Network Taps si se requieren dispositivos avanzados capaces de monitorizar conexiones de alta velocidad.3 Link Aggregation Software [online].5 CONCLUSIONES 14 5. Available from: http://www.com/products. 2005].snort. 2005]. Available from: http://www. Michael.datacomsystems.netoptics.asp [7] Finisar.org/wiki/OneWayEthernet [4] Net Optics.com/Products/taps. Available from: http://www.criticaltap.com/nt/taps. 2005]. [cited 20 May. Available from: http://www. SecureNet IDS Taps [online]. Cada situaci´n o requiere una soluci´n diferente. 2005].3). [cited 20 May. Available from: http://www. 2005]. [cited 20 May. Matrix Switches & Analyzers [online].securicore. Available from: http://www.

GIGE IDS Tapping Diagram (with load balancers) [online].org/docs/Gb tapping. 2005]. Jeff. [cited 20 May.com/pdf/installation guide/IGNET96042 142.snort. [cited 20 May. Available from: http://www. ATM Fiber Tap: Install guide [online].pdf . Jeff. 2005]. Inc. [cited 20 May.pdf [17] Net Optics.snort. 2005].REFERENCIAS 15 [15] Nathan.pdf [16] Nathan. Available from: http://www. Available from: http://www. 100Mb IDS Tapping Diagram (with 1000bt span port) [online].org/docs/100Mb tapping2.netoptics.