Сетевой кран - Network tap

А сетевой кран это система, которая отслеживает события в локальной сети.[1] Ответвитель обычно представляет собой выделенное аппаратное устройство, которое обеспечивает способ доступа к данным, передаваемым через компьютерная сеть. Во многих случаях желательно, чтобы третья сторона контролировала трафик между двумя точками в сети. Если сеть между точками A и B состоит из физического кабеля, "сетевой кран"может быть лучшим способом выполнить этот мониторинг. Сетевой ответвитель имеет (как минимум) три порта: А порт, а B порт, а монитор порт. Разветвитель, вставленный между A и B, передает весь трафик (потоки отправки и получения данных) беспрепятственно в режиме реального времени, но также копирует те же данные на свой порт монитора, позволяя третьей стороне прослушивать. Сетевые ответвители обычно используются для системы обнаружения сетевых вторжений, Запись VoIP, сетевые зонды, RMON зонды, анализаторы пакетов, а также другие устройства и программное обеспечение для мониторинга и сбора данных, которым требуется доступ к сегмент сети. Перехватчики используются в приложениях безопасности, потому что они незаметны, не обнаруживаются в сети (не имеют физического или логического адреса), могут иметь дело с полнодуплексный и необщие сети, и обычно пройти через или же обход трафика, даже если кран перестает работать или теряет мощность.


Терминология

Период, термин сетевой кран аналогично телефонный кран или же вампир. Некоторые поставщики определяют «TAP» как аббревиатуру «Test Access Point» или «Terminal Access Point»; однако это наиболее вероятно бакронимы.

Контролируемый трафик иногда называют пройти через трафик, а порты, которые используются для мониторинга, являются монитор порты. Также может быть порт агрегации для полнодуплексного трафика, в котором трафик «A» агрегируется с трафиком «B», в результате чего получается один поток данных / пакетов для мониторинга полнодуплексной связи. Пакеты должны быть выровнены в единый поток с использованием алгоритма времени прибытия.

Продавцы будут использовать в своем маркетинге такие термины, как прорыв, пассивный, агрегирование, регенерация, байпас, активный, встроенная мощность, и другие; К сожалению, производители не используют такие термины постоянно. Перед покупкой любого продукта важно понять доступные функции и проконсультироваться с поставщиками или внимательно прочитать литературу по продукту, чтобы понять, насколько маркетинговые термины соответствуют действительности. Все «термины поставщика» являются общими в отрасли, имеют реальные определения и являются ценными моментами для рассмотрения при покупке устройства для ответвлений.

Распределенный ответвитель - это набор сетевых ответвлений, которые сообщают централизованной системе мониторинга или анализатор пакетов.


Методы технологии врезки

Существуют различные методы мониторинга сети. В зависимости от сетевой технологии, цели мониторинга, доступных ресурсов и размера целевой сети могут использоваться многие методы прослушивания. Ниже будут разработаны различные методы.

Нажатие программным обеспечением

Этот тип прослушивания фокусируется на прослушивании с использованием программного обеспечения и без внесения каких-либо значительных изменений в оборудование инфраструктуры. Этот тип перехвата часто является самым дешевым в реализации, но для получения действительно полного представления о сети требуется несколько реализаций.

Программное обеспечение для мониторинга

Самый простой вид мониторинга - это вход в интересное устройство и запущенные программы или команды, которые показывают статистику производительности и другие данные. Это самый дешевый способ мониторинга сети, который отлично подходит для небольших сетей. Однако это не так. шкала хорошо для больших сетей. Это также может повлиять на отслеживаемую сеть; видеть эффект наблюдателя.

SNMP

Другой способ контролировать устройства - использовать протокол удаленного управления, например SNMP спрашивать устройства об их производительности. Этот напольные весы хорошо, но не обязательно подходит для всех типов мониторинга. Неотъемлемые проблемы SNMP - это эффект опроса. Многие производители решили эту проблему, используя интеллектуальные планировщики опросов, но это все равно может повлиять на производительность контролируемого устройства. Это также открывает множество потенциальных проблем с безопасностью.

Зеркалирование портов

Другой метод мониторинга сетей - использовать зеркалирование портов (называемый «SPAN», для анализатора коммутируемых портов, такими поставщиками, как Cisco[2], и с другими именами, такими как телеметрия MLXe от Brocade Communications и других поставщиков) (также известный как порт MIRROR) или протокол мониторинга, такой как ТЗСП на маршрутизаторы и переключатели. Это недорогая альтернатива сетевым ответвителям, которая решает многие из тех же проблем. Однако не все маршрутизаторы и коммутаторы поддерживают зеркалирование портов, а на тех, которые поддерживают, использование зеркалирования портов может повлиять на производительность маршрутизатора или коммутатора. Эти технологии также могут быть причиной проблемы с полнодуплексный описано в другом месте в этой статье, и часто существуют ограничения для маршрутизатора или переключателя на то, сколько сквозных сеансов можно отслеживать, или сколько портов мониторинга (обычно два) могут отслеживать данный сеанс. Часто, когда порт SPAN перегружен , пакеты будут отброшены до того, как достигнут устройства мониторинга. Также существует вероятность потери некоторых пакетов с ошибками, которые могут вызывать проблемы. Если эти данные не отправляются на устройство мониторинга из-за того, что они отброшены, устранить неполадки невозможно, независимо от того, насколько продвинуто устройство, которое может использоваться.

Switch Sniffer

Этот метод прослушивания заключается во включении Беспорядочный режим на устройстве, которое используется для мониторинга, и подключении его к сетевому коммутатору. Это хорошо работает со старыми LAN такие технологии как 10BASE-T Ethernet, FDDI, и маркерное кольцо. В таких сетях любой хост может автоматически видеть, что делали все остальные хосты, включив неразборчивый режим. Однако современные переключился Сетевые технологии, такие как те, что используются в современных сетях Ethernet, по сути, обеспечивают связь точка-точка между парами устройств, поэтому другим устройствам трудно видеть трафик.

Нарезание с помощью оборудования

Этот тип нарезки предназначен для нарезания резьбы с замечательным использованием оборудования.

Встроенный сниффер

Пассивный оптоволоконный ответвитель.

Этот метод заключается в установке устройства между сетевым кабелем и устройством, которое администратор / злоумышленник хочет «нажать». Если устройство мониторинга установлено в линию, сеть будет останавливаться каждый раз при выходе из строя или выключении устройства. Устройство "жертва" может перестать получать трафик, когда устройство для прослушивания обновляется / перезагружается, если указанные механизмы не были интегрированы должным образом (иначе говоря, это могло бы предотвратить этот сценарий).

Некоторые краны, особенно волоконные краны, не используйте питание и вообще никакой электроники для пройти через и монитор часть сетевого трафика. Это означает, что ответвитель ни в коем случае не должен иметь сбоев электроники или питания, которые приводят к потере сетевого подключения. Один из способов, которым это может работать для волоконно-оптических сетевых технологий, состоит в том, что ответвитель разделяет входящий свет с помощью простого физического устройства на два выхода, один для пройти через, один для монитор. Это можно назвать пассивный кран. Другие ответвители не используют питание или электронику для пройти через, но используйте питание и электронику для монитор порт. Их также можно назвать пассивный.



V-образное нарезание резьбы

Нарезание резьбы по V-образной линии является наиболее важным методом нарезания резьбы. V-Line Tapping (также известный как Bypass Tapping) позволяет разместить обслуживаемую систему практически в линию. Включение этого устройства в сеть нарушит целостность критически важной сети. Поместив систему Tapping вместо устройства мониторинга и подключив устройство мониторинга к системе Tapping, можно гарантировать, что трафик будет продолжать движение, и устройство не создаст точки отказа в сети.[нужна цитата ] Этот метод всегда передает каждый пакет, даже пакеты с ошибками, которые порт SPAN может отбросить, на устройство мониторинга. Этот метод предполагает использование шпионского программного обеспечения на целевой машине. Для системного администратора этот тип решения является наиболее простым в реализации и наиболее экономичным; Однако для злоумышленника этот тип прослушивания очень рискован, поскольку его легко обнаружить при сканировании системы. Система прослушивания будет удалена после перезагрузки, если шпионское программное обеспечение было установлено непостоянным способом в системе, выполняющей Live-OS.

Преимущества и особенности

Современные сетевые технологии часто полнодуплексный, что означает, что данные могут перемещаться в обоих направлениях одновременно. Если сетевой канал позволяет передавать данные со скоростью 100 Мбит / с в каждом направлении одновременно, это означает, что сеть действительно позволяет передавать данные со скоростью 200 Мбит / с. пропускная способность. Это может представлять проблему для технологий мониторинга, если у них есть только один порт мониторинга. Следовательно, сетевые ответвители для полнодуплексных технологий обычно имеют два порта монитора, по одному для каждой половины соединения. Слушатель должен использовать соединение каналов или же агрегирование ссылок чтобы объединить два соединения в один агрегированный интерфейс, чтобы увидеть обе половины трафика. Другие технологии мониторинга, такие как пассивные TAP оптоволоконной сети, плохо справляются с полнодуплексным трафиком.

Как только сетевой ответвитель установлен, сеть можно контролировать, не мешая самой сети. Другой сетевой мониторинг решения требуют внутриполосный изменения сетевых устройств, что означает, что мониторинг может повлиять на отслеживаемые устройства. Этот сценарий предназначен для активных встроенных средств безопасности, таких как брандмауэры нового поколения, системы предотвращения вторжений и брандмауэры веб-приложений.

После установки ответвителя к нему при необходимости можно подключить устройство мониторинга, не влияя на отслеживаемую сеть.

Некоторые ответвители имеют несколько портов вывода или несколько пар портов вывода для полнодуплексного режима, что позволяет нескольким устройствам контролировать сеть в точке ответвления. Их часто называют регенерация краны.

Некоторые краны работают на физический слой из Модель OSI а не канал передачи данных слой. Например, они работают с многомодовое волокно скорее, чем 1000BASE-SX. Это означает, что они могут работать с большинством сетевых технологий передачи данных, использующих эту физическую среду, такими как ATM и некоторые формы Ethernet. Сетевые ответвители, которые действуют так же просто оптические разветвители иногда называют пассивные ответвители (хотя этот термин не используется постоянно) может обладать этим свойством.

Некоторые сетевые ответвители предлагают как дублирование сетевого трафика для устройств мониторинга, так и службы SNMP. Большинство крупных производителей сетевых ответвителей предлагают ответвители с удаленным управлением через интерфейсы Telnet, HTTP или SNMP. Такие гибриды сетевых ответвлений могут быть полезны сетевым администраторам, которые хотят просматривать базовую статистику производительности, не отвлекая существующие инструменты. В качестве альтернативы, сигналы тревоги SNMP, генерируемые управляемыми ответвителями, могут предупреждать сетевых администраторов о необходимости привязки условий, которые заслуживают изучения анализаторами, с системами обнаружения вторжений.

Некоторые ответвители получают часть своей мощности (т. Е. Для пройти через) или всю свою мощь (т. е. для обоих пройти через и монитор) из самой сети. Их можно назвать имеющими встроенная мощность.

Некоторые ответвители также могут воспроизводить сетевые ошибки низкого уровня, такие как короткие кадры, неправильный CRC или поврежденные данные.

Базовая функциональность оптического сетевого ответвителя

Преимущества сетевого TAP

Вот некоторые преимущества Network TAP по сравнению с зеркалированием портов или SPAN:

  • Пассивный; безотказный
  • Нулевая конфигурация
  • Безопасный
  • Точный дубликат сетевого трафика
  • Нет дополнительной задержки или измененного времени
  • Помимо хороших кадров / пакетов пропускает сетевые ошибки
  • Превышение подписки не проблема

Недостатки и проблемы

Поскольку сетевые ответвители требуют дополнительного оборудования, они не так дешевы, как технологии, использующие встроенные в сеть возможности. Однако сетевыми ответвителями легче управлять, и они обычно предоставляют больше данных, чем некоторые сетевые устройства.

Сетевые ответвители могут потребовать соединение каналов на устройствах мониторинга, чтобы обойти проблему с полнодуплексный обсуждалось выше. Продавцы также обычно называют это агрегированием.

Установка сетевого ответвителя на короткое время нарушит работу отслеживаемой сети.[3] Даже в этом случае предпочтительнее кратковременное отключение сети, чем многократное отключение сети для развертывания инструмента мониторинга. Рекомендуется разработать хорошие рекомендации по размещению сетевых ответвителей.

Для мониторинга больших сетей с использованием сетевых ответвлений может потребоваться множество устройств для мониторинга. Сетевые устройства высокого класса часто позволяют включать порты как зеркальные порты, который представляет собой программный сетевой кран. В то время как любой свободный порт можно настроить как зеркальный порт, программные ответвления требуют настройки и создают нагрузку на сетевые устройства.

Даже полностью пассивный сетевые ответвители вводят новые точки отказа в сеть. Есть несколько способов, которыми ответвители могут вызвать проблемы, и это следует учитывать при создании архитектуры ответвлений. Рассмотрите возможность использования ответвителей без источника питания только для оптических сред или бросание звездообразный сетевой кран за медь 100BT. Это позволяет вам модифицировать интеллектуальные отводы агрегации, которые могут использоваться, и избежать каких-либо сложностей при обновлении со 100 мегабит до гигабита до 10 гигабит. Избыточный Источники питания настоятельно рекомендуются.

От корки до корки пассивный возможно только для оптических соединений с любой полосой пропускания и для медных соединений типа G703 (2 Мбит) и Ethernet Base-T 10/100 Мбит. На соединениях Gigabit и 10 Gbit Base-T пассивное прослушивание в настоящее время невозможно.

Контрмеры

Меры противодействия перехватам сети включают шифрование и системы сигнализации. Шифрование может сделать похищенные данные непонятными для похитителя. Однако шифрование может быть дорогим решением, и при его использовании возникают опасения по поводу пропускной способности сети.

Другой мерой противодействия является установка оптоволоконного датчика в существующий кабельный канал, кабелепровод или армированный кабель. В этом сценарии любой, кто пытается физически получить доступ к данным (медная или оптоволоконная инфраструктура), обнаруживается системой сигнализации. Небольшое количество производителей систем сигнализации предоставляют простой способ контролировать оптоволокно на предмет физических вторжений. Существует также проверенное решение, использующее существующее темное (неиспользованное) волокно в многожильном кабеле с целью создания системы сигнализации.

В случае кабеля с тревогой механизм обнаружения использует оптическую интерферометрию, при которой модально-дисперсионный когерентный свет, проходящий через многомодовое волокно, смешивается на его конце, в результате чего возникает характерный узор из светлых и темных пятен, называемый спеклами. Спекл лазера стабилен, пока волокно остается неподвижным, но мерцает при вибрации волокна. Волоконно-оптический датчик измеряет временную зависимость этой спекл-структуры и применяет цифровую обработку сигнала к быстрому преобразованию Фурье (БПФ) временных данных.

Правительство США обеспокоено угрозой прослушивания в течение многих лет, а также обеспокоено другими формами преднамеренного или случайного физического вторжения. В контексте сетей Министерства обороны США (DOD) с секретной информацией Protected Distribution Systems (PDS) представляет собой набор военных инструкций и руководств по физической защите сети. PDS определяется для системы носителей (кабелепроводы, каналы, каналы и т. Д.), Которые используются для распространения информации о военной и национальной безопасности (NSI) между двумя или более контролируемыми зонами или из контролируемой зоны через зону меньшей классификации (т. Е. , за пределами SCIF или другой подобной области). Инструкция по национальной безопасности телекоммуникаций и информационных систем (NSTISSI) № 7003, Защитные распределительные системы (PDS), предоставляет руководство по защите проводной линии SIPRNET и оптоволоконной PDS для передачи незашифрованной секретной информации национальной безопасности (NSI).


Проблемы с Gigabit Base-T

Объясняет физическое подключение к Gbit Ethernet.

Для передачи 1 Гбит трафика в полнодуплексном режиме (по 1 Гбит в каждом направлении одновременно) очень сложный сигнал используется для достижения желаемой производительности и качества. В случае Gbit Ethernet сигнал называется модуляцией PAM 5, что означает, что каждая кабельная пара передает 5 бит одновременно в обоих направлениях. Перед микросхемами PHY на каждом конце кабеля стоит очень сложная задача, поскольку они должны отделять два сигнала друг от друга. Это возможно только потому, что они знают свой собственный сигнал, поэтому они могут вычесть свои собственные сигналы отправки из смешанных сигналов на линии, а затем интерпретировать информацию, отправленную их партнерами по каналу.

Принципиальная функция медного TAP Гбит

Чтобы коснуться медного соединения, как показано на рисунке выше, невозможно просто коснуться середины провода, потому что все, что вы увидите, - это сложная модуляция двух сигналов. Единственный способ прервать сигнал (как показано на рисунке) - использовать микросхему PHY для разделения сигнала и затем послать сигнал партнеру по каналу связи. Это решение работает, но вызывает другие проблемы.

  1. Он больше не является пассивным, поэтому в случае сбоя канал связи может отключиться, и услуги по каналу будут прерваны. Чтобы свести к минимуму эту проблему, на каждом медном ответвлении есть переключатель байпаса (реле), который замыкается при отключении питания (как показано на рисунке), чтобы восстановить соединение. Также это решение не обнаружит, что ссылка не работает в течение как минимум трех секунд. Эти три секунды являются результатом работы автосогласования. Это нельзя изменить, поскольку это жизненно важная функция стандарта IEEE 802.3, как описано в разделах 28 и 40. Даже такое короткое время прерывания может вызвать большие проблемы в сети.
    • В некоторых случаях эти ссылки невозможно восстановить без выключения служб.
    • Функции перенаправления в сети могут иметь место
    • Потоковые приложения могут рухнуть и вызвать больше проблем.
  2. Некоторая информация уровня 1 не передается по медному ответвителю (например, кадры паузы)
  3. На синхронизацию часов влияет. Синхронизация по медному ответвителю со стандартным Гбит невозможна, и это влияет на IEEE 1588 из-за дополнительной задержки, производимой медным ответвителем.

Смотрите также

Рекомендации

  1. ^ Кумар, Д. Ашок (30.08.2017). «СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ: ОБЗОР». Международный журнал перспективных исследований в области компьютерных наук. 8 (8): 356–370. Дои:10.26483 / ijarcs.v8i8.4703. ISSN  0976-5697.
  2. ^ Шашанк, Сингх. «Пример конфигурации анализатора коммутируемых портов (SPAN) Catalyst». Cisco. Получено 7 февраля 2020.
  3. ^ «Учебное пособие по сниффингу, часть 1 - Перехват сетевого трафика». Блог о сетевой безопасности NETRESEC. 2011 г.

внешняя ссылка