Zur Analyse des Netzwerkverkehrs müssen die Netzwerkpakete an NTOP/NPROBE oder an Out-of-Band-Netzwerksicherheits- und Überwachungstools gesendet werden. Für dieses Problem gibt es zwei Lösungsansätze:
Portspiegelung(auch bekannt als SPAN)
Netzwerk-Abhöre(auch bekannt als Replikations-Tap, Aggregations-Tap, aktiver Tap, Kupfer-Tap, Ethernet-Tap usw.)
Bevor wir die Unterschiede zwischen den beiden Lösungen (Port Mirroring und Network Tap) erläutern, ist es wichtig zu verstehen, wie Ethernet funktioniert. Bei 100 Mbit/s und mehr kommunizieren die Hosts üblicherweise im Vollduplex-Modus. Das bedeutet, dass ein Host gleichzeitig senden (Tx) und empfangen (Rx) kann. An einem 100-Mbit/s-Kabel, das an einen Host angeschlossen ist, beträgt die gesamte Datenmenge, die ein Host senden und empfangen kann (Tx/Rx), 2 × 100 Mbit/s = 200 Mbit/s.
Bei der Portspiegelung handelt es sich um eine aktive Paketreplikation, was bedeutet, dass das Netzwerkgerät physisch für das Kopieren des Pakets an den gespiegelten Port verantwortlich ist.
Das bedeutet, dass das Gerät diese Aufgabe unter Einsatz bestimmter Ressourcen (z. B. der CPU) ausführen muss und beide Datenverkehrsrichtungen auf denselben Port repliziert werden. Wie bereits erwähnt, bedeutet dies bei einer Vollduplex-Verbindung, dass
A -> B und B -> A
Die Summe von A überschreitet nicht die Netzwerkgeschwindigkeit, bevor Paketverluste auftreten. Dies liegt daran, dass physisch kein Speicherplatz zum Kopieren von Paketen vorhanden ist. Port-Mirroring ist eine gute Technik, da sie von vielen Switches (aber nicht allen) unterstützt wird. Die meisten Switches haben den Nachteil von Paketverlusten, wenn eine Verbindung mit über 50 % Auslastung überwacht wird oder Ports auf einen schnelleren Port gespiegelt werden (z. B. 100-Mbit-Ports auf einen 1-Gbit-Port). Hinzu kommt, dass Paket-Mirroring den Austausch von Switch-Ressourcen erfordern kann, was das Gerät belasten und die Austauschleistung beeinträchtigen kann. Beachten Sie, dass Sie einen Port mit einem anderen Port oder ein VLAN mit einem Port verbinden können, aber im Allgemeinen nicht mehrere Ports auf einen einzigen Port kopieren können (daher fehlt beim Paket-Mirroring).
Ein Netzwerk-TAP (Terminal Access Point)Ein Netzwerk-TAP ist ein rein passives Hardwaregerät, das den Netzwerkverkehr passiv erfassen kann. Es wird häufig zur Überwachung des Datenverkehrs zwischen zwei Punkten im Netzwerk eingesetzt. Besteht die Verbindung zwischen diesen beiden Punkten aus einem physischen Kabel, ist ein Netzwerk-TAP möglicherweise die beste Methode zur Datenerfassung.
Der Netzwerk-TAP verfügt über mindestens drei Ports: einen A-Port, einen B-Port und einen Monitor-Port. Um einen TAP zwischen den Punkten A und B zu platzieren, wird das Netzwerkkabel zwischen den Punkten A und B durch zwei Kabel ersetzt. Eines der Kabel wird an den A-Port, das andere an den B-Port des TAP angeschlossen. Der TAP leitet den gesamten Datenverkehr zwischen den beiden Netzwerkpunkten weiter, sodass diese weiterhin miteinander verbunden bleiben. Zusätzlich kopiert der TAP den Datenverkehr an seinen Monitor-Port, wodurch ein Analysegerät diesen überwachen kann.
Netzwerk-TAPs werden häufig von Überwachungs- und Erfassungsgeräten wie APS eingesetzt. TAPs eignen sich auch für Sicherheitsanwendungen, da sie unauffällig sind, im Netzwerk nicht erkennbar sind, Vollduplex- und nicht gemeinsam genutzte Netzwerke unterstützen und den Datenverkehr in der Regel auch dann weiterleiten, wenn der TAP ausfällt oder die Stromversorgung unterbrochen wird.
Da Network-Taps nur senden, aber nicht empfangen, weiß der Switch nicht, welches Gerät sich hinter den Ports befindet. Daher sendet er die Pakete an alle Ports. Wenn Sie also Ihr Überwachungsgerät an den Switch anschließen, empfängt dieses alle Pakete. Dieser Mechanismus funktioniert nur, wenn das Überwachungsgerät keine Pakete an den Switch sendet. Andernfalls geht der Switch davon aus, dass die abgefangenen Pakete nicht für dieses Gerät bestimmt sind. Um dies zu erreichen, können Sie entweder ein Netzwerkkabel verwenden, bei dem die Sendeleitungen (TX) nicht angeschlossen sind, oder eine IP-lose (und DHCP-lose) Netzwerkschnittstelle, die keine Pakete sendet. Wenn Sie einen Tap verwenden möchten, um Paketverluste zu vermeiden, sollten Sie entweder die Übertragungsrichtungen nicht zusammenführen oder einen Switch verwenden, dessen Übertragungsrichtungen langsamer sind (z. B. 100 Mbit/s) als die des Zusammenführungsports (z. B. 1 Gbit/s).
Wie lässt sich also Netzwerkverkehr erfassen? Netzwerk-Taps vs. Switch-Port-Spiegelung
1. Einfache Konfiguration: Netzwerk-Tap > Portspiegelung
2. Einfluss auf die Netzwerkleistung: Netzwerk-Tap < Portspiegelung
3. Erfassungs-, Replikations-, Aggregations- und Weiterleitungsfähigkeit: Netzwerk-Tap > Portspiegelung
4. Latenz der Datenverkehrsweiterleitung: Netzwerk-Tap < Port-Mirror
5. Kapazität zur Vorverarbeitung des Datenverkehrs: Netzwerk-Tap > Portspiegelung
Veröffentlichungsdatum: 30. März 2022
