Зеркалирование(Копирование) трафика для последующего анализа

Для чего нужны ответвители трафика TAP?

Для мониторинга ИТ-инфраструктуры, обеспечения ее безопасности или просто захвата трафика для последующего анализа необходим доступ к каналам связи. Решить эту задачу можно по-разному и ранее прибегали к зеркалированию (SPAN порт). SPAN технологии используемые на коммутаторах имеют ряд недостатков, таких как ограничение количества SPAN интерфейсов, нагрузку на коммутатор, блокировку передачи на SPAN порт трафика содержащего битовые ошибки и т.д. Поэтому наиболее правильным и удобным способом является снятие трафика с помощью специального устройства. Такое устройство называется — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения различных систем ИТ или ИБ. Использование Network TAP предусмотрено для анализаторов трафика, в системах предотвращения вторжений (IPS) и в системах обнаружения сетевых атак (NIDS).

TAP vs SPAN

Преимущества TAP

  • Создают 100-процентную копию двунаправленного сетевого трафика, обеспечивая абсолютную точность для сетевого мониторинга.
  • Не изменяют временные соотношения между кадрами, интервалом и временем отклика, что особенно важно при анализе VoIP и Triple Play, включая анализ FDX.
  • TAP не вносят никакого искажения, что важно для анализа VoIP / видео.
  • Теги VLAN не передаются через порт SPAN, что может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN.
  • TAP пропускают весь трафик: : IPv4 или IPv6, ошибочные пакеты, короткие или большие кадры, плохие кадры CRC, межкадровый промежуток не отбрасывается и не изменяется, независимо от полосы пропускания.
  • Являются отказоустойчивыми.
  • • TAP не являются адресными сетевыми устройствами и поэтому не могут быть взломаны, что гарантирует безопасность.
  • У TAP нет проблем с настройкой или командной строкой. Ответвители – простые для пользователя устройства, не нуждающиеся в специальной настройке, «включил и работай»
  • TAP не требуют загрузки обновлений встроенного ПО, них нет доступа к чему-либо, кроме локальной сети.

Недостатки SPAN портов

  • SPAN может легко переписывать, отбрасывать пакеты. Потери пакетов в случае перегрузки портов или наличия в них ошибок. В результате «некорректной работы» специалисты упускают из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по безопасности может упустить вирусный трафик или атаку злоумышленника.
  • SPAN имеет самый низкий приоритет на коммутаторе, когда речь идет о пересылке трафика
  • Искаженные пакеты и ошибки низкого уровня могут быть отфильтрованы коммутатором / SPAN
  • Порт SPAN может быть легко настроен неправильно, влияя на производительность сети и даже вызывая сбои в работе.
  • Порты SPAN ограничены количеством.  Разным специалистам требуется копия трафика для решения своих задач: обеспечение безопасности, контент фильтрации, обнаружения вторжения, диагностики и устранения проблем, а количество SPAN портов обычно ограничено — одним или двумя.

Подробнее о преимуществах TAP устройств перед SPAN портами можно ознакомится по ссылке

Виды ответвителей трафика TAP

Мы рекомендуем использовать ответвители сетевого трафика TAP производства Garland Technology. Данные сетевые устройства отлично зарекомендовали себя при построении безопасных сетей в крупных предприятиях и их филиалах, в ЦОД разного масштаба, кампусных сетях, в России и по всему миру.

Медные ответвители трафика

Медный сплиттер имеет порт А и порт В для подключения в разрыв кабельной линии между двумя сетевыми устройствами для обеспечения полного контроля трафика, передаваемого между ними, и два порта мониторинга, на каждый из которых копируется соответствующие поток Monitor A и Monitor B. Он поддерживает скорость передачи трафика до 1 Гбит/с. Поддерживает синхронизацию пропускной способности портов и распространение информации об отказе канала.

Медный ответвитель трафика TAP может быть реализован в исполнении модульного шасси 1U или 2U, вмещающем 4 или 12  модульных ответвителей трафика TAP соответственно. Имеет двойные внутренние источники питания переменного или постоянного тока, распознает сбои питания и автоматически закрывает схему реле менее чем за 8 миллисекунд, затем повторно подключает два сетевых устройства, подключенных к портам A и B.

Пассивные оптические ответвители трафика TAP

Пассивные оптические ответвители трафика работают в двух режимах Singe Mode и Multi Mode. Оптические TAP поддерживают скорость передачи трафика до 400 Гбит/с и не нуждаются в электропитании. В семейство пассивных оптических ответвителей TAP входят компактные устройства, содержащие до 4 независимых ответвителей, или шасси высотой 1U, содержащие до 56 ответвителей. Разные модели ответвителей предназначены для волокон OM1/3/4 и имеют коэффициент деления оптического сигнала 50/50, 70/30, 60/40, 80/20 и 90/10.

Так же Garland Technology предлагает использовать модульную систему оптических отвевителей трафика TAP. Пассивная модульная система имеет масштабируемую конструкцию состоящую из Шасси высотой 1U и модулей TAP. Шасси вмещает от 16 до 24 сетевых модулей TAP (24 модуля LC TAP, 16 модулей MPO / MTP TAP, 16 модулей BiDi LC TAP), при этом конфигурация модулей может быть разная.

Виртуальные TAP

Поскольку организации становятся все более зависимыми от виртуальных вычислений, ИТ-специалистам необходимо решение для устранения слепых зон, присущих виртуальным средам. Garland vTAP - это ПО для решения этих задач, обеспечивая полную видимость трафика с востока на запад и между VM.

Схема развертывания vTAP Garland Technology

Промышленные ответвители трафика TAP

Индустриальный ответвитель трафика TAP предназначен для работы в самых сложных условиях окружающей среды. Эта модульный  TAP идеально подходит для мониторинга медной сети, с пропускной способностью до 1 Гбит/с.  Он может быть установлен в любом сегменте сети, что позволяет вам захватывать полнодуплексный трафик, не отбрасывая никаких пакетов. Промышленные ответвители TAP оснащены портами  Mighty Mouse. Эти коннекторы основаны на широко известном стандарте цилиндрических соединителей MIL-DTL-38999. Разъемы Mighty Mouse– самые близкие к этому стандарту по конструкции и эксплуатационным характеристикам, при этом соединители Mighty Mouse имеют на 50% меньшие габариты и на 70% меньшую массу.

Области применения: военные транспортные средства, грузовые автомобили, самолеты

Агрегирующие ответвители

В модельном ряду TAP Garland Technology выделяются ответвители агрегирующего типа. Они должны быть подключены к наиболее важным точкам сети, могут копировать трафик с нескольких каналов связи или SPAN портов и агрегировать его в общий поток данных. К такому оборудованию могут быть подключены сразу несколько устройств для мониторинга трафика.

 

Регенерирующие ответвители

В модельном ряду Garland Technology выделяются уникальные ответвители регенерирующего типа, способные реплицировать трафик на несколько систем мониторинга. Существуют два вида регенерирующих ответвителей, оптические и медные.

Оптические регенерирующие ответвители разделяют один одномодовый полнодуплексный вход на три выхода. Регенерация или репликация TAP используются для захвата 100% полнодуплексного трафика, который затем может быть отправлен на несколько устройств мониторинга для анализа вашей сети.

Медные регенерирующие ответвители используются для захвата 100% полнодуплексного трафика, который может быть отправлен на несколько устройств мониторинга для анализа вашей сети. Такие TAP подключаются в разрыв канала, копирует и отправляет от двух до пяти полных копий трафика на устройства мониторинга или безопасности в вашей сети.

Сетевые пакетные брокеры (NPB)

Следующими в логической цепи устройств управления зеркалированным трафиком сетевые пакетные брокеры. Как правило, они получают трафик от TAP устройств или SPAN портов, с последующей обработкой – фильтрацией, агрегацией или мультиплексированием.

Варианты использования: а) сбор сетевого трафика из нескольких каналов связи и отправка на одну систему мониторинга; б) копирование одного и того же сетевого трафика на несколько систем мониторинга; в) фильтрация сетевого трафика для экономии пропускной способности системы мониторинга.

Заключение 

Технология SPAN порта по-прежнему остается жизнеспособной для некоторых ограниченных ситуаций. Но при увеличении скорости сетевого потока  до скоростей 400 Гб/с, просмотра всех фреймов, обеспечения безопасности данных и соблюдения политик глубокого захвата пакетов, необходимо использовать технологии TAP.

Применение комбинированных ответвителей трафика позволяет решать самые сложные задачи, в этом случае за счет сочетания различного рода функций возможны самые разнообразные варианты захвата и копирования трафика.