Les commutateurs sont maintenant omniprésents dans les réseaux locaux d'entreprise. Lorsque les administrateurs réseaux souhaitent surveiller, et superviser ceux-ci, ils peuvent sonder ce qui sort et entre du routeur. Pour récupérer des flux suspects en interne, il peut être de bon ton d'utiliser le port-mirroring.

Le port-mirroring est une technique réplication du trafic d'un port ou d'un VLAN sur un autre port. Il est possible de l'implémenter sur la majorité des commutateurs. Ainsi avec une carte Ethernet et un WireShark en mode Promiscious, vous serez en mesure de récupérer les data susceptibles de vous intéresser.

Je ne reviendrai pas sur les concepts de la commutation et des différences entre concentrateurs et commutateurs. Voici donc comment configurer cette technologie sur un switch Cisco 2960 SI :

C2960# configure terminal
C2960(config)# monitor session 1 source interface fastethernet 0/6
C2960(config)# monitor session 1 source interface fastethernet 0/7
C2960(config)# monitor session 1 source interface fastethernet 0/8
C2960(config)# monitor session 1 source interface fastethernet 0/9
C2960(config)# monitor session 1 source interface fastethernet 0/10
C2960(config)# monitor session 1 destination interface fastethernet 0/3

Dans l'exemple précédent, on duplique le trafic passant par les ports 6, 7, 8, 9 et 10 du switch vers le port 3. L'intérêt de cette technique est la relative transparence et le peu d'incidences  sur le LAN par rapport à une attaque "Man-in-the-Middle" à base d'ARP Spoofing.

Plop !