Зеркалирование(Копирование) трафика для последующего анализа

Для чего нужны ответвители трафика TAP?
Для мониторинга ИТ-инфраструктуры, обеспечения ее безопасности или просто захвата трафика для последующего анализа необходим доступ к каналам связи. Решить эту задачу можно по-разному и ранее прибегали к зеркалированию (SPAN порт). SPAN технологии используемые на коммутаторах имеют ряд недостатков, таких как ограничение количества SPAN интерфейсов, нагрузку на коммутатор, блокировку передачи на SPAN порт трафика содержащего битовые ошибки и т.д. Поэтому наиболее правильным и удобным способом является снятии трафика с помощью специального устройства. Такое устройство называется — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения различных систем ИТ или ИБ. Использование Network TAP предусмотрено для анализаторов трафика, также такое устройство применяется в системах предотвращения вторжений (IPS) и в системах обнаружения сетевых атак (NIDS).

TAP vs SPAN

Преимущества TAP

  • TAP создают полную 100-процентную копию двунаправленного сетевого трафика, обеспечивая полную точность для сетевого мониторинга.
  • TAP не изменяют временные соотношения между кадрами, интервалом и временем отклика, что особенно важно при анализе VoIP и Triple Play, включая анализ FDX.
  • TAP не вносят никакого искажения, что важно для анализа VoIP / видео.
  • Теги VLAN не передаются через порт SPAN, поэтому это может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN.
  • TAP пропускают весь трафик: IPv4 или IPv6, ошибочные пакеты, короткие или большие кадры, плохие кадры CRC, межкадровый промежуток не отбрасываются и не изменяется, независимо от полосы пропускания.
  • TAP являются отказоустойчивыми.
  • Правовые нормы или корпоративное соблюдение иногда требуют контроля всего трафика для определенного сегмента. Это можно гарантировать только с помощью TAP устройств.
  • TAP не являются адресными сетевыми устройствами и поэтому не могут быть взломаны - Высокая безопасность.
  • У TAP нет проблем с настройкой или командной строкой. Ответвители – достаточно простые для пользователя устройства, не нуждающиеся в специальной настройке, «включил и работай»
  • TAP являются вневременными - им никогда не нужно загружать или обновляться, у них нет доступа к чему-либо, кроме локальной сети, которую они контролируют.

Недостатки SPAN портов

  • SPAN может легко переписывать, отбрасывать пакеты. Потери пакетов в случае перегрузки портов или в случае наличия в них ошибок. В результате «некорректной работы» специалисты упускают из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по безопасности может упустить вирусный трафик или атаку злоумышленника.
  • SPAN имеет самый низкий приоритет на коммутаторе, когда речь идет о пересылке трафика
  • Искаженные пакеты и ошибки низкого уровня могут быть отфильтрованы коммутатором / SPAN
  • Порт SPAN может быть легко настроен неправильно, влияя на производительность сети и даже вызывая сбои в работе.
  • Порты SPAN ограничены количеством.  Разным специалистам требуется копия трафика для решения своих задач: обеспечение безопасности, контент фильтрации, обнаружения вторжения, диагностики и устранения проблем, а количество SPAN портов обычно ограничено — один или два.

Подробнее о преимуществах TAP устройств перед SPAN портами можно ознакомится по ссылке

Виды ответвителей трафика TAP

Мы рекомендуем использовать ответвители сетевого трафика TAP производства Garland Technology. Данные сетевые устройства отлично зарекомендовали себя при построении безопасных сетей в крупных предприятиях и их филиалах, в ЦОД разного масштаба, кампусных сетях, в России и по всему миру.

Медные ответвители трафика

Медный сплиттер имеет порт А и порт В для подключения в разрыв кабельной линии между двумя сетевыми устройствами для обеспечения полного контроля трафика, передаваемого между ними, и два порта мониторинга, на каждый из которых копируется соответствующие поток Monitor A и Monitor B. Он поддерживает скорость передачи трафика до 1 Гбит/с. Поддерживает синхронизацию пропускной способности портов и распространение информации об отказе канала.

Медный ответвитель трафика TAP может быть реализован в исполнении модульного шасси 1U или 2U, вмещающем 4 или 12  модульных ответвителей трафика TAP соответственно. Имеет двойные внутренние источники питания переменного или постоянного тока, распознает сбои питания и автоматически закрывает схему реле менее чем за 8 миллисекунд, затем повторно подключает два сетевых устройства, подключенных к портам A и B.

Пассивные оптические ответвители трафика TAP

Пассивные оптические ответвители трафика работают в двух режимах singe mode и multi mode. Оптические TAP поддерживают скорость передачи трафика до 100 Гбит/с и не нуждаются в электропитании. В семейство пассивных оптических ответвителей TAP входят компактные устройства, содержащие до 4 независимых ответвителей, или шасси высотой 1U, содержащие до 56 ответвителей. Разные модели ответвителей предназначены для волокон OM1/3/4 и имеют коэффициент деления оптического сигнала 50/50, 70/30, 60/40, 80/20 и 90/10.

Так же Garland Technology предлагает использовать модульную систему оптических отвевителей трафика TAP. Пассивная модульная система имеет масштабируемую конструкцию состоящую из Шасси высотой 1U и модулей TAP. Шасси вмещает от 16 до 24 сетевых модулей TAP (24 модуля LC TAP, 16 модулей MPO / MTP TAP, 16 модулей BiDi LC TAP), при этом конфигурация модулей может быть разная.

Виртуальные TAP

Поскольку организации становятся все более зависимыми от виртуальных вычислений, ИТ-специалистам необходимо решение для устранения слепых зон, присущих виртуальным средам. Garland vTAP - это ПО для решения этих задач, обеспечивая полную видимость трафика с востока на запад и между VM.

Схема развертывания vTAP Garland Technology

Промышленные ответвители трафика TAP

Индустриальный ответвитель трафика TAP предназначен для работы в самых сложных условиях окружающей среды. Эта модульный  TAP идеально подходит для мониторинга медной сети, с пропускной способностью до 1 Гбит/с.  Он может быть установлен в любом сегменте сети, что позволяет вам захватывать полнодуплексный трафик, не отбрасывая никаких пакетов. Промышленные ответвители TAP оснащены портами  Mighty Mouse. Эти коннекторы основаны на широко известном стандарте цилиндрических соединителей MIL-DTL-38999. Разъемы Mighty Mouse– самые близкие к этому стандарту по конструкции и эксплуатационным характеристикам, при этом соединители Mighty Mouse имеют на 50% меньшие габариты и на 70% меньшую массу.

Области применения: военные транспортные средства, грузовые автомобили, самолеты

Агрегаторы трафика

В модельном ряду TAP Garland Technology выделяются ответвители агрегационного типа. Они должны быть подключены к наиболее важным точкам сети, могут копировать трафик с нескольких каналов связи или SPAN портов и агрегировать его в общий поток данных. К такому оборудованию могут быть подключены сразу несколько устройств для мониторинга трафика.

Заключение 

Технология Span (зеркалирование) по-прежнему остается жизнеспособной для некоторых ограниченных ситуаций. Но при миграции от 10 Мбит / с к гигабитным сетям до 100 гигабитных сетей и для просмотра всех фреймов и обеспечения безопасности данных и соблюдения политик глубокого захвата пакетов, необходимо использовать технологии TAP для удовлетворения потребностей современных технологий анализа и мониторинга

Применение комбинированных ответвителей трафика позволяет решать самые сложные задачи, в этом случае за счет сочетания различного рода функций возможны самые разнообразные варианты захвата и копирования трафика.