Verkkoliikenteen analysoimiseksi verkkopaketti on lähetettävä NTOP/NPROBE- tai Out-of-band Network Security and Monitoring Tools -työkaluille. Tähän ongelmaan on kaksi ratkaisua:
Portin peilaus(tunnetaan myös nimellä SPAN)
Verkkonapautus(tunnetaan myös nimillä replikointiliitäntä, yhdistämisliitäntä, aktiiviliitäntä, kupariliitäntä, Ethernet-liitäntä jne.)
Ennen kuin selitämme kahden ratkaisun (Port Mirror ja Network Tap) väliset erot, on tärkeää ymmärtää, miten Ethernet toimii. 100 Mbitin ja sitä suuremmilla nopeuksilla isännät puhuvat yleensä kaksisuuntaisesti, mikä tarkoittaa, että yksi isäntä voi lähettää (Tx) ja vastaanottaa (Rx) samanaikaisesti. Tämä tarkoittaa, että yhteen isäntään kytketyllä 100 Mbitin kaapelilla yhden isännän lähettämän/vastaanottaman verkkoliikenteen kokonaismäärä (Tx/Rx) on 2 × 100 Mbit = 200 Mbit.
Portin peilaus on aktiivista pakettien replikointia, mikä tarkoittaa, että verkkolaite on fyysisesti vastuussa paketin kopioimisesta peilattuun porttiin.
Tämä tarkoittaa, että laitteen on suoritettava tämä tehtävä käyttämällä jotakin resurssia (kuten suoritinta), ja molemmat liikennesuunnat replikoidaan samaan porttiin. Kuten aiemmin mainittiin, täysdupleksisessa linkissä tämä tarkoittaa, että
A -> B ja B -> A
A:n summa ei ylitä verkon nopeutta ennen kuin pakettien katoaminen tapahtuu. Tämä johtuu siitä, että pakettien kopiointiin ei ole fyysisesti tilaa. Porttien peilaus on osoittautunut loistavaksi tekniikaksi, koska monet kytkimet (mutta eivät kaikki) voivat suorittaa sen. Useimmilla kytkimillä on haittapuolena pakettien katoaminen. Jos valvot linkkiä, jonka kuormitus on yli 50 %, peilaat portit nopeampaan porttiin (esim. peilaat 100 Mbit:n portit 1 Gbit:n porttiin). Puhumattakaan siitä, että pakettien peilaus saattaa vaatia kytkimien resurssien vaihtamista, mikä voi kuormittaa laitetta ja heikentää vaihdon suorituskykyä. Huomaa, että voit liittää yhden portin yhteen porttiin tai yhden VLANin yhteen porttiin, mutta et yleensä voi kopioida montaa porttia yhteen (koska pakettien peilaus puuttuu).
Verkko-TAP (päätelaitetukiasema)on täysin passiivinen laitteisto, joka voi passiivisesti tallentaa verkkoliikennettä. Sitä käytetään yleisesti kahden pisteen välisen liikenteen valvontaan verkossa. Jos näiden kahden pisteen välinen verkko koostuu fyysisestä kaapelista, verkon TAP voi olla paras tapa tallentaa liikennettä.
Verkko-TAP:ssa on vähintään kolme porttia: A-portti, B-portti ja monitoriportti. Pisteiden A ja B välille voidaan sijoittaa liitin korvaamalla pisteiden A ja B välinen verkkokaapeli kahdella kaapelilla, joista toinen menee TAP:n A-porttiin ja toinen TAP:n B-porttiin. TAP välittää kaiken liikenteen kahden verkkopisteen välillä, joten ne ovat edelleen yhteydessä toisiinsa. TAP kopioi liikenteen myös monitoriporttiinsa, jolloin analyysilaite voi kuunnella.
Verkko-TAP-laitteita käyttävät yleisesti valvonta- ja tiedonkeruulaitteet, kuten APS:t. TAP-laitteita voidaan käyttää myös tietoturvasovelluksissa, koska ne ovat huomaamattomia, eivätkä ole havaittavissa verkossa, ne pystyvät käsittelemään kaksisuuntaisia ja ei-jaettuja verkkoja ja yleensä välittävät liikenteen, vaikka hana lakkaa toimimasta tai virta katkeaisi.
Koska Network Taps -portit eivät vastaanota, vaan ainoastaan lähettävät, kytkimellä ei ole aavistustakaan, kuka porttien takana on. Seurauksena on, että se lähettää paketit kaikkiin portteihin. Jos siis liität valvontalaitteesi kytkimeen, kyseinen laite vastaanottaa kaikki paketit. Huomaa, että tämä mekanismi toimii, jos valvontalaite ei lähetä yhtään pakettia kytkimelle. Muussa tapauksessa kytkin olettaa, että salakuunnetut paketit eivät ole kyseiselle laitteelle. Tämän saavuttamiseksi voit joko käyttää verkkokaapelia, johon et ole liittänyt TX-johtoja, tai käyttää IP-vapaata (ja DHCP-vapaata) verkkoliitäntää, joka ei lähetä paketteja ollenkaan. Lopuksi huomaa, että jos haluat käyttää salakuuntelua pakettien menettämisen estämiseksi, älä joko yhdistämisohjeita tai käytä kytkintä, jossa salakuunnetut suunnat ovat hitaampia (esim. 100 Mbit) kuin yhdistämisportti (esim. 1 Gbit).
Joten miten verkkoliikennettä kaapataan? Verkkoliitäntöjä vs. kytkimen porttien peilausta
1. Helppo määritys: Verkko-napautus > Portin peili
2- Verkon suorituskyvyn vaikutus: Verkkoliitäntä < Portin peili
3- Tallennus-, replikointi-, yhdistämis- ja edelleenlähetyskyky: Verkkonapauta > Portin peili
4- Liikenteen edelleenlähetyksen latenssi: Verkkonapautus < Portin peili
5- Liikenteen esikäsittelykapasiteetti: Verkko Napauta > Portin peili
Julkaisun aika: 30.3.2022
