Socialabel

Saturday, March 30, 2013

Switch Port Analyser (SPAN)

Switch Port Analyser (SPAN) adalah sebuah teknik yang dapat dilakukan pada layer 2 dalam hal ini adalah device switch yang dapat melalukan mirror terhadap trafik yang melewati sebuah/beberapa port pada suatu switch tujuannya adalah untuk melakukan monitoring. SPAN banyak digunakan dalam kegiatan analisis untuk troubleshooting network, namun tidak menutupkan  kemungkinan dapat dimodifikasi untuk keperluan lain, misal pencurian data.

Ilustrasi dapat dilihat pada gambar yang disadur dari cisco: 
Jika dibayangkan SPAN, silahkan menghayal! yang terjadi pada SPAN selintas mirip dengan apa yang terjadi pada Hub namun kenyataannya jelas berbeda.

Pada Hub ketika suatu device mengirimkan frame pada host tertentu, semua host yang aktif juga akan mendapatkan data tersebut. Pada gambar dibawah misalkan komputer A mengirimkan frame ke komputer B, komputer sniffer dan komputer blank juga akan menerima data tersebut karena sifat dari Hub yang akan membroadcast kesemua host, sifat dasar hub adalah 1 broadcast domain dan 1 collusion domain.
source
Namun ada kalahnya kita sebagai administrator membutuhkan pola seperti tersebut untuk melakukan analisis terhadap network. jika menggunakan Hub tentu saja akan menggangu performa dari layanan, namun jika menggunakan switch kita tidak bisa mendapatkan traffik frame antar host yang sedang berkomunikasi,

source
Sifat dari Switch konvensional membentuk banyak collision domain (tergantung jumlah port yang dimiliki) dan 1 broadcast domain (non-vlan), sehingga akan terbentuk pola komunikasi seperti gambar diatas, frame hanya mengalir dari host A ke Host B semata, kecuali kita menggunakan ARP poisoning, namun hal tersebut bukan lah solusi, malah menjadi beban bagi host lain jika akan melakukan analisis data di network yang kita miliki.

Nah, selintas mirip dengan Hub namun berbeda dengan Hub aliaran data pada SPAN dapat dikontrol sesuai dengan keinginan administrator sehingga efek-efek negatif pada Hub dapat di cluster sedemikian rupa.

source
Pada gambar tersebut trafik pada komputer A ke Komputer B akan diduplikasi ke komputer sniffer, namun komputer blank, tidak dapat menerima traffik tersebut. Jadi data yang dikirim komputer A  aman dari akses yang tidak sah seperti komputer blank. dan juga komputer blank tidak terbebani oleh frame "sampah" yang tidak diinginkannya.

Banyak switch yang dapat melakukan teknik seperti ini, seperti produk-produk cisco
  1. Switch>
  2. Switch>en
  3. Switch#conf t
  4. Enter configuration commands, one per line. End with CNTL/Z.
  5. Switch(config)#moni
  6. Switch(config)#monitor session 1 source interface f0/1-10 both
  7. Switch(config)#monitor session 1 dest interface f0/15
  8. Switch(config)#exit
Pada langkah 6 dan 7, command untuk melakukan mirroring ke port lainnya (f0/15)

No comments:

Post a Comment