¿Quién puede ver el tráfico de otros en diferentes tipos de LAN?

Navega tus respuestas
2

Me gustaría considerar tres tipos de LAN:

a) 2 computadoras están conectadas a un concentrador, este concentrador está conectado a un enrutador, por ejemplo. acceso a internet.

b) 2 computadoras están conectadas a un Switch, este Switch está conectado a un enrutador, por ejemplo. acceso a internet.

c) 2 computadoras están conectadas directamente al enrutador (interruptor interno).

Primero, creo que b) yc) son lo mismo. Mi pregunta principal es: ¿Tengo razón al decir que la segunda computadora podría ver todo el tráfico de Internet desde y hacia la primera computadora en el caso a), pero no en los casos b) yc)?

¿Hay alguna posibilidad (envenenamiento ARP / suplantación de identidad, etc.) donde la segunda computadora pueda ver el tráfico de la primera, considerando el caso c) (yb))?

    
pregunta Kiigass 28.05.2015 - 19:27
fuente

1 respuesta

4

Su suposición es mayoritariamente correcta pero no completamente.

Como usted sospecha, los casos (b) y (c) son los mismos porque no tiene importancia si el conmutador está integrado en algún otro hardware o independiente. Así que llamaré a ambos casos (b).

Un conmutador Ethernet normalmente optimizará los flujos de tráfico para que los paquetes no se envíen a puertos a los que no necesitan ir. Se hace con la inclinación de la dirección MAC y es la razón por la que el segundo controlador no normalmente verá el tráfico entre la primera computadora e Internet. Pero no es una garantía, así que nunca debes contar con ello. Debería verlo como una optimización de rendimiento oportunista en su lugar. Hay situaciones en las que no será efectivo:

  • Poco después de que el conmutador se haya restablecido y antes de que haya tenido la oportunidad de aprender direcciones MAC.
  • Si el número de direcciones MAC que ve el conmutador supera el número máximo de direcciones MAC que puede aprender.
  • Si la topología de la capa 2 de la red ha cambiado recientemente, es posible que los paquetes se envíen al puerto a través del cual se llegó a una dirección MAC .
  • etc ...

Las dos primeras situaciones darán como resultado que el switch envíe paquetes a todos los puertos, al igual que con un concentrador tonto.

Además, los paquetes de difusión y (en ocasiones) de multidifusión aún se inundarán a todos los puertos, incluso cuando el aprendizaje de la dirección MAC esté en uso. Eso no afectará el tráfico entre la primera computadora e Internet directamente, pero la primera aún puede filtrar fácilmente información importante de esta manera a través de solicitudes DHCP, anuncios de mDNS, etc.

  

¿Hay alguna posibilidad (envenenamiento ARP / suplantación de identidad, etc.) donde la segunda computadora pueda ver el tráfico de la primera, considerando el caso c) (yb))?

Claro. El uso de un conmutador en lugar de un concentrador tonto generalmente no evita el envenenamiento ARP o, por ejemplo, la suplantación de identidad de un servidor DHCP, a menos que el conmutador tenga funciones de seguridad específicas para evitarlo (y esas características deben estar activadas, configuradas correctamente y administradas) ).

    
respondido por el Celada 28.05.2015 - 20:55
fuente

Lea otras preguntas en las etiquetas

Impedir el uso de servidores DNS de terceros Recopilación de datos al responder a alertas de malware