Protocolo SNMP

El protocolo simple de administración de redes (SNMP) se desarrolló para que los

administradores puedan administrar nodos como servidores, estaciones de trabajo, routers,
switches y dispositivos de seguridad en una red IP. Permite que los administradores de
redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de
red y planifiquen el crecimiento de la red.

SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para

la comunicación entre administradores y agentes. El sistema SNMP consta de tres
elementos:

 Administrador de SNMP
 Agentes SNMP (nodo administrado)
 Base de información de administración (MIB)

Para configurar SNMP en un dispositivo de red, primero es necesario definir la relación

entre el administrador y el agente.

El administrador de SNMP forma parte de un sistema de administración de red (NMS). El

administrador de SNMP ejecuta software de administración SNMP. Como se muestra en la
ilustración, el administrador de SNMP puede recopilar información de un agente SNMP
mediante una acción “get” y puede cambiar la configuración en un agente mediante la
acción “set”. Además, lo agentes de SNMP pueden reenviar información directamente a un
administrador de red mediante notificaciones.

El agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los
dispositivos de red que se deben administrar, como los switches, los routers, los servidores,
los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente
SMNP. Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben
estar disponibles para los usuarios remotos autenticados. El agente de SNMP es
responsable de brindar acceso a la MIB local.

SNMP define cómo se intercambia la información de administración entre las aplicaciones

de administración de red y los agentes de administración. El administrador de SNMP
sondea los agentes y consulta la MIB para los agentes de SNMP en el puerto UDP 161. Los
agentes de SNMP envían todas las notificaciones de SNMP al administrador de SNMP en
el puerto UDP 162.

Los agentes SNMP que residen en los dispositivos administrados recopilan y almacenan
información sobre los dispositivos y su funcionamiento. El agente almacena esta
información localmente en la MIB. El administrador de SNMP luego usa el agente SNMP
para tener acceso a la información dentro de la MIB.
Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una
solicitud get para solicitar datos al dispositivo. NMS usa una solicitud "set" para cambiar
las variables de configuración en el dispositivo de agente. Una solicitud set también puede
iniciar acciones dentro de un dispositivo. Por ejemplo, una solicitud set puede hacer que un
router se reinicie, que envíe o que reciba un archivo de configuración. El administrador de
SNMP utiliza las acciones de las solicitudes get y set para realizar las operaciones descritas
en la tabla de la siguiente figura.

El agente SNMP responde a las solicitudes del administrador de SNMP de la siguiente

manera:

 Obtener una variable de MIB

 Definir una variable de MIB

TRAPS DEL AGENTE SNMP

(TRAMPAS)

NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos
administrados para solicitar datos a los dispositivos mediante la solicitud get. Con este
proceso, una aplicación de administración de red puede recopilar información para
controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados.
La información puede visualizarse por una GUI en NMS. Se pueden calcular los
promedios, los mínimos o los máximos, representar los datos gráficamente o establecer
umbrales para activar un proceso de notificación cuando se exceden los umbrales. Por
ejemplo, NMS puede controlar el uso de CPU de un router Cisco. El administrador de
SNMP toma una muestra del valor periódicamente y presenta esta información en un
gráfico para que el administrador de redes la use para crear una línea de base, redactar un
informe o ver información en tiempo real.

El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el
momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el
sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el
uso del ancho de banda.

Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps
para informarle a NMS sobre ciertos eventos de inmediato. Las traps son mensajes no
solicitados que alertan al administrador de SNMP sobre una condición o un evento en la
red. Algunos ejemplos de las condiciones de trap incluyen, entre otros, la autenticación
incorrecta de usuarios, los reinicios, el estado del enlace (activo o inactivo), el seguimiento
de direcciones MAC, el cierre de una conexión TCP, la pérdida de conexión a un vecino u
otros eventos importantes. Las notificaciones de trap reducen los recursos de red y de
agente al eliminar la necesidad de algunas de las solicitudes de sondeo de SNMP.

En la siguiente figura, se muestra el uso de una trap de SNMP para alertar al administrador
de red que la interfaz G0/0 falló. El software de NMS puede enviar un mensaje de texto al
administrador de red, mostrar una ventana emergente en el software de NMS o mostrar el
ícono del router en color rojo en la GUI de NMS.

Protocolo SNMP
El protocolo simple de administración de redes (SNMP) se desarrolló para que los
administradores puedan administrar nodos como servidores, estaciones de trabajo, routers,
switches y dispositivos de seguridad en una red IP. Permite que los administradores de
redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de
red y planifiquen el crecimiento de la red.

SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para

la comunicación entre administradores y agentes. El sistema SNMP consta de tres
elementos:

 Administrador de SNMP
 Agentes SNMP (nodo administrado)
 Base de información de administración (MIB)

Para configurar SNMP en un dispositivo de red, primero es necesario definir la relación

entre el administrador y el agente.

El administrador de SNMP forma parte de un sistema de administración de red (NMS). El

administrador de SNMP ejecuta software de administración SNMP. Como se muestra en la
ilustración, el administrador de SNMP puede recopilar información de un agente SNMP
mediante una acción “get” y puede cambiar la configuración en un agente mediante la
acción “set”. Además, lo agentes de SNMP pueden reenviar información directamente a un
administrador de red mediante notificaciones.

El agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los
dispositivos de red que se deben administrar, como los switches, los routers, los servidores,
los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente
SMNP. Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben
estar disponibles para los usuarios remotos autenticados. El agente de SNMP es
responsable de brindar acceso a la MIB local.

SNMP define cómo se intercambia la información de administración entre las aplicaciones

de administración de red y los agentes de administración. El administrador de SNMP
sondea los agentes y consulta la MIB para los agentes de SNMP en el puerto UDP 161. Los
agentes de SNMP envían todas las notificaciones de SNMP al administrador de SNMP en
el puerto UDP 162.

Los agentes SNMP que residen en los dispositivos administrados recopilan y almacenan
información sobre los dispositivos y su funcionamiento. El agente almacena esta
información localmente en la MIB. El administrador de SNMP luego usa el agente SNMP
para tener acceso a la información dentro de la MIB.

Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una
solicitud get para solicitar datos al dispositivo. NMS usa una solicitud "set" para cambiar
las variables de configuración en el dispositivo de agente. Una solicitud set también puede
iniciar acciones dentro de un dispositivo. Por ejemplo, una solicitud set puede hacer que un
router se reinicie, que envíe o que reciba un archivo de configuración. El administrador de
SNMP utiliza las acciones de las solicitudes get y set para realizar las operaciones descritas
en la tabla de la siguiente figura.

El agente SNMP responde a las solicitudes del administrador de SNMP de la siguiente

manera:

 Obtener una variable de MIB

 Definir una variable de MIB

TRAPS DEL AGENTE SNMP

(TRAMPAS)

NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos
administrados para solicitar datos a los dispositivos mediante la solicitud get. Con este
proceso, una aplicación de administración de red puede recopilar información para
controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados.
La información puede visualizarse por una GUI en NMS. Se pueden calcular los
promedios, los mínimos o los máximos, representar los datos gráficamente o establecer
umbrales para activar un proceso de notificación cuando se exceden los umbrales. Por
ejemplo, NMS puede controlar el uso de CPU de un router Cisco. El administrador de
SNMP toma una muestra del valor periódicamente y presenta esta información en un
gráfico para que el administrador de redes la use para crear una línea de base, redactar un
informe o ver información en tiempo real.

El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el
momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el
sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el
uso del ancho de banda.
Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps
para informarle a NMS sobre ciertos eventos de inmediato. Las traps son mensajes no
solicitados que alertan al administrador de SNMP sobre una condición o un evento en la
red. Algunos ejemplos de las condiciones de trap incluyen, entre otros, la autenticación
incorrecta de usuarios, los reinicios, el estado del enlace (activo o inactivo), el seguimiento
de direcciones MAC, el cierre de una conexión TCP, la pérdida de conexión a un vecino u
otros eventos importantes. Las notificaciones de trap reducen los recursos de red y de
agente al eliminar la necesidad de algunas de las solicitudes de sondeo de SNMP.

En la siguiente figura, se muestra el uso de una trap de SNMP para alertar al administrador
de red que la interfaz G0/0 falló. El software de NMS puede enviar un mensaje de texto al
administrador de red, mostrar una ventana emergente en el software de NMS o mostrar el
ícono del router en color rojo en la GUI de NMS.

Herramientas de auditoria de red

Cómo realizar una auditoría de seguridad avanzada para
redes
El experto Kevin Beaver ofrece argumentos sobre la realización de una auditoría de
seguridad de siguiente generación para redes.

En los últimos años, las redes empresariales han evolucionado considerablemente. Todo,
desde el cómputo móvil hasta la nube –y por no hablar de todos los sistemas internos
nuevos, servicios y aplicaciones– están haciendo a las redes actuales más complejas que
nunca. Incluso las mismas herramientas que se utilizan para administrar la seguridad de la
red pueden expandir la superficie de ataque y crear sus propias vulnerabilidades.

Como muchos usuarios a menudo averiguan por la vía difícil, la complejidad es mala para
la seguridad, pero continúa sin cesar.

Uno de los desafíos centrales que enfrentan las empresas hoy es no saber, en un momento
dado, dónde se encuentran realmente las cosas con sus vulnerabilidades de red y los riesgos
del negocio.

Si una empresa va a realizar mejoras tangibles en la seguridad, tiene que tomar sus pruebas
de seguridad de red al siguiente nivel.

Iniciando una auditoría de seguridad de red de siguiente nivel

En primer lugar, es importante recordar las diferencias entre las auditorías de seguridad,
los análisis de vulnerabilidades, las pruebas de penetración y las evaluaciones de riesgos de
la información. Hay similitudes entre todos ellos –a saber, encontrar y corregir los fallos de
seguridad de la red antes de que sean explotados–, pero los enfoques, herramientas,
conjuntos de habilidades y el tiempo requeridos para cada uno varían considerablemente.

Lo más importante que se debe entender con las auditorías de seguridad es qué es lo que su
empresa está tratando de lograr. No le decimos a nuestros radiólogos e inspectores de
viviendas que limiten su alcance sobre la base de lo que suponemos que necesitamos; ¿por
qué limitar el foco de las pruebas de seguridad de la red a una sola cosa, como penetrar en
la red desde el exterior, escanear una página web por el cumplimiento de PCI DSS, validar
que se está llevando a cabo el ingreso a la auditoría y la colocación de parches, o asegurar
la existencia de políticas documentadas?.

Se justifica una combinación de todos los métodos de pruebas tradicionales; a lo que

podemos llamar una "evaluación de seguridad".

Una ley fundamental de la seguridad de red es que usted no puede asegurar lo que no
reconoce. Antes de que una organización pueda afirmar verdaderamente qué tan seguro es
su entorno, debe estar segura de que está mirando todas las áreas correctas –y que lo está
haciendo de manera periódica y constante. Esto no significa que la empresa tiene que ver
cada uno de los sistemas, en cada segmento de la red, en todo momento, pero sí que debe
centrarse en lo que es más importante y más visible. En otras palabras, como mínimo, mire
la información más sensible sobre los sistemas más críticos y resuelvalo desde allí.

Si eventualmente es capaz de evaluar la seguridad de todos los sistemas y aplicaciones –

tanto internos como externos a la red– eso es genial. Después de todo, si tiene una dirección
IP, una dirección URL o –dadas las cosas en estos días– un interruptor de
encendido/apagado, probablemente es un blanco legítimo para atacar.

Herramientas del oficio

Con el fin de obtener una imagen real de la seguridad, deje de depender de los análisis
básicos de puertos y vulnerabilidades. El negocio tiene que estar dispuesto a invertir en
herramientas que le permiten excavar más, lo que requerirá las siguientes herramientas:

Antes de empezar
Planificar las cosas con mucha antelación es fundamental para una buena prueba de
seguridad. Eso establece las expectativas de todos los involucrados, incluyendo la
administración, los desarrolladores y el personal de operaciones de TI.

Ejecución de las pruebas

Puede tomar todo un libro para cubrir esta fase de las auditorías de seguridad de red, pero
aquí hay cuatro subfases que su empresa querrá ejecutar:

Reconocimiento. Para determinar cuáles sistemas, aplicaciones, personas/procesos, etc.

deben ser analizados.
Enumeración. Para ver qué se está ejecutando dónde, para que usted pueda desarrollar un
plan de ataque.

Descubrimiento de vulnerabilidades. Para descubrir fallas específicas, tales como

contraseñas débiles, inyección SQL y actualizaciones de software que faltan.

Demostración de vulnerabilidad. Para mostrar la importancia de las vulnerabilidades que

usted encuentra y cómo importan en el contexto de su entorno de red y/o negocio.

Una vez más, realizar un análisis manual es una parte grande y muy importante de las
pruebas de seguridad. Un mono puede ejecutar un escáner de vulnerabilidad; el valor real
viene cuando usted utiliza su sabiduría y sentido común para descubrir y explotar las fallas
que requieren de intervención humana.

Construcción de un informe eficaz

En esta etapa, el informe que usted construye esboza dónde y cómo se hacen las cosas; sin
embargo, este paso generalmente no es tomado tan en serio como debería ser. Incluso si se
descubre todas las mayores brechas de seguridad y exploits, si estos riesgos no se
comunican bien a los demás dentro de la organización, entonces probablemente no se
actuará respecto a ellos y el ciclo de brechas de seguridad continuará.

Desde mi propia experiencia, he encontrado que un informe oficial que contiene tanto un
resumen ejecutivo informativo (es decir, no solo un par de frases de pelusa), como una lista
de los detalles técnicos de cada hallazgo crítico y no crítico funciona bien; cuanto más
breve, mejor. Nunca entregue informes exportados de las herramientas de pruebas de
seguridad y espere que otros tomen en serio el informe.

Cualquiera que lea el informe final tiene que saber tres cosas básicas:

 Cuáles son los hallazgos.

 Dónde están presentes.
 Qué se puede hacer al respecto.

Incluso con capturas de pantalla y otros detalles técnicos, a menudo se puede enumerar dos
o tres conclusiones en una sola página del informe. Tenga en cuenta que cuanto más
detallado sea el informe, mayores serán las posibilidades de que algo sea pasado por alto.
Remita a un apéndice, datos de prueba suplementarios (por ejemplo, reportes en PDF o
HTML de las herramientas que utilizó) o sitios web, siempre que sea posible.

Su tiempo y su conocimiento son todo lo que tiene. Las empresas dependen en gran medida
de los resultados de las evaluaciones de seguridad de red, por lo que las mejoras continuas
son una necesidad. A veces se trata de sus herramientas, a veces es su metodología, pero a
menudo es solo una cuestión de mejorar en lo que hace. Teniendo en cuenta todas las
evaluaciones que realizo cada año, me he dado cuenta que si usted afina su enfoque hacia
las pruebas de seguridad, puede obtener resultados mucho mejores en un período de tiempo
más corto –incluso con toda la complejidad presente en las redes actuales.
 Pruebas de penetración
Las Pruebas de Penetración se realizan desde la posición de un atacante potencial de
manera remota y local. A través de técnicas de Hackeo Ético se busca explotar activamente
las vulnerabilidades de seguridad para obtener información relevante. Tal como lo
intentaría un intruso con propósitos adversos para la organización. En conjunto con el
cliente diseñamos y ejecutamos escenarios reales que permitirán identificar áreas de
oportunidad para disminuir el impacto y la probabilidad de ciberataques.

Beneficios

El mejor modo de saber cómo los intrusos entrarán de verdad en su red es simular un
ataque en condiciones controladas. No hay mejor forma de probar la fortaleza de los
sistemas de seguridad que atacarlos.

El Servicio de Hacking Ético o Pentesting permite conocer el impacto real de un ataque

informático.

Hacking ético
Hacking ético es una forma de referirse al acto de una persona usar sus
conocimientos de informática y seguridad para realizar pruebas en redes
y encontrar vulnerabilidades, para luego reportarlas y que se tomen
medidas, sin hacer daño.

La idea es tener el conocimiento de cuales elementos dentro de una red

son vulnerables y corregirlo antes que ocurra hurto de información, por
ejemplo.

Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En

español se conocen como "pruebas de penetración", en donde se intenta
de múltiples formas burlar la seguridad de la red para robar información
sensitiva de una organización, para luego reportarlo a dicha
organización y asi mejorar su seguridad.

Se sugiere a empresas que vayan a contratar los servicios de una

empresa que ofrezca el servicio de hacking ético, que la misma sea
certificada por entidades u organizaciones con un buen grado de
reconocimiento a nivel mundial.

Las personas que hacen estas pruebas pueden llegar a ver información
confidencial, por lo que cierto grado de confianza con el consultor es
recomendado.
Trampas y simulador de sesión
Honeypot

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a

atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta
de seguridad informática utilizada para recoger información sobre los atacantes y sus
técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes
del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de
permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no

existentes en la realidad y se les conoce como honeypots de baja interacción y son usados
fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas
operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de
investigación y se los conoce como honeypots de alta interacción.

Un tipo especial de honeypot de baja interacción son los sticky

honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad de
los ataques automatizados y los rastreos. En el grupo de los honeypot de alta interacción
nos encontramos también con los honeynet. También se llama honeypot a un website o sala
de chat, que se ha creado para descubrir a otro tipo de usuarios con intenciones criminales.

Spam honeypots

Los spammers son usuarios que abusan de recursos como los servidores de correo abiertos
y los proxies abiertos. Algunos administradores de sistemas han creado honeypots que
imitan este tipo de recursos para identificar a los presuntos spammers.

Algunos honeypots son Jackpot, escrito en Java, y smtpot.py, escrito en Python. Proxypot
es un honeypot que imita un proxy abierto (o proxypot).

Honeypots de Seguridad

Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red

vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa
simula el agujero de seguridad, pero realmente no permite ganar el control del sistema.
Registrando la actividad del atacante, este sistema recoge información sobre el tipo de
ataque utilizado, así como la dirección IP del atacante, entre otras cosas.

 Honeynet Project es un proyecto de investigación que despliega redes de

sistemas honeypot (HoneyNets) para recoger información sobre las herramientas,
tácticas y motivos de los criminales informáticos.
 PenTBox Security Suite es un proyecto que desarrolla una Suite de Seguridad
Informática. Dentro de los programas que la engloban está disponible un Honeypot
 configurable de baja interacción. El proyecto es multiplataforma, programado
en Ruby y esta licenciado bajo GNU/GPL

Analizador de puertos
Replicación de Puertos
Un analizador de paquetes (también conocido como analizador de protocolos, detector de
paquetes o analizador de tráfico) es una herramienta valiosa para ayudar a supervisar y a
resolver los problemas de una red. Un analizador de paquetes es el software que captura los
paquetes que ingresan y que salen de una tarjeta de interfaz de red (NIC). Por ejemplo,
Wireshark es un analizador de paquetes que se usa comúnmente para capturar y analizar los
paquetes en una computadora local.

¿Qué sucedería si un administrador de red deseara capturar los paquetes de muchos otros
dispositivos fundamentales y no solo la NIC local? Una solución consiste en configurar los
dispositivos de red para copiar y enviar el tráfico que va a los puertos de interés a un puerto
conectado a un analizador de paquetes. El administrador luego podría analizar el tráfico de
red de diversas fuentes en la red.

Sin embargo, la operación básica de una red conmutada moderna inhabilita la capacidad del
analizador de paquetes para capturar el tráfico de otras fuentes. Por ejemplo, un usuario que
ejecuta Wireshark puede capturar sólo el tráfico que entra a su NIC. No puede capturar el
tráfico entre otro host y un servidor. El motivo es porque un switch de capa 2 completa la
tabla de direcciones MAC en base a la dirección MAC de origen y el puerto de ingreso de
la trama de Ethernet. Una vez que se crea la tabla, el switch solamente reenvía el tráfico
destinado a una dirección MAC directamente al puerto correspondiente. Esto evita que un
analizador de paquetes conectado a otro puerto del switch "escuche" otro tráfico del switch.

La solución a este dilema es habilitar los puertos reflejados. La función de puertos

reflejados permite que un switch copie y envíe tramas de Ethernet desde puertos específicos
al puerto de destino conectado a un analizador de paquetes. La trama original aún se
reenvía de la manera habitual.

La figura muestra un ejemplo de replicación de puertos. Vale notar que el tráfico entre PC1
y PC2 también se envía a la computadora portátil con un analizador de paquetes instalado.

Análisis de Tráfico Sospechoso

La función Analizador de puertos con switches (SPAN) de los switches Cisco es un tipo de
puertos reflejados que envía copias de la trama que ingresa a un puerto, desde otro puerto
del mismo switch. SPAN permite que los administradores o los dispositivos recopilen y
analicen el tráfico.
Como se muestra en la siguiente figura, SPAN suele implementarse para enviar tráfico a
dispositivos especializados como:

 Analizador de paquetes
 Sistemas de protección contra intrusiónes

Mientras que los analizadores de paquetes suelen usarse para solucionar problemas, el IPS
busca patrones específicos en el tráfico. A medida que el flujo de tráfico pasa por los IPS,
se analiza el tráfico en tiempo real y se toman medidas al detectar patrones de tráfico
malicioso.

Las redes modernas son entornos conmutados. Por lo tanto, SPAN es fundamental para un
funcionamiento eficaz de IPS. SPAN puede implementarse como SPAN local o SPAN
remoto (RSPAN).

SPAN LOCAL

SPAN local implica la replicación del tráfico de un switch a otro puerto del switch. Se usan
varios términos para identificar los puertos entrantes y salientes.

Una sesión SPAN es la asociación entre los puertos de origen (o VLAN) y un puerto de
destino.

Se dice que la función SPAN es local cuando todos los puertos supervisados se encuentran
en el mismo switch que el puerto de destino. Esta función contrasta con del SPAN remoto
(RSPAN).

SPAN REMOTO

SPAN remota (RSPAN) permite que los puertos de origen y destino estén en switches
diferentes. RSPAN es útil cuando el analizador de paquetes o IPS está en un switch
diferente al del tráfico que se monitorea.

El RSPAN utiliza dos sesiones. Una sesión se utiliza como origen y la otra sesión se usa
para copiar o recibir el tráfico de una VLAN. El tráfico para cada sesión RSPAN es enlaces
troncales transportados en una VLAN RSPAN definido por el usuario que se dedique (para
esa sesión RSPAN) en todos los switches participantes.

CONFIGURACIÓN DE SPAN LOCAL

El comando show monitor se usa para verificar la sesión de SPAN. Este comando muestra
el tipo de sesión, los puertos de origen de cada dirección de tráfico y el puerto de destino.