Сетевой кран

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed. Find sources: "Network tap" – news · newspapers · books · scholar · JSTOR (May 2018) (Learn how and when to remove this message)

Сетевой кран — это система, которая отслеживает события в локальной сети. Обычно кран — это выделенное аппаратное устройство, которое обеспечивает способ доступа к данным, проходящим через компьютерную сеть .

Сетевой ответвитель имеет (как минимум) три порта: порт A , порт B и порт монитора . Ответвитель, вставленный между A и B, пропускает весь трафик (отправляемые и получаемые потоки данных) беспрепятственно в режиме реального времени, но также копирует эти же данные на свой порт монитора, позволяя третьей стороне прослушивать.

Сетевые ответвители обычно используются для систем обнаружения вторжений в сеть , записи VoIP , сетевых зондов, зондов RMON , анализаторов пакетов и других устройств и программного обеспечения для мониторинга и сбора данных, которым требуется доступ к сегменту сети . Ответвители используются в приложениях безопасности, поскольку они ненавязчивы, не обнаруживаются в сети (не имеют физического или логического адреса), могут работать с полнодуплексными и несовместно используемыми сетями и обычно пропускают или обходят трафик, даже если ответвитель перестает работать или теряет питание.

Термин сетевой тап аналогичен телефонному тапу или вампирскому тапу . Некоторые поставщики определяют TAP как аббревиатуру для тестовой точки доступа или терминальной точки доступа; однако это бэкронимы .

Контролируемый трафик иногда называют транзитным трафиком, а порты, которые используются для мониторинга, — портами мониторинга . Также может быть порт агрегации для полнодуплексного трафика, где трафик A объединяется с трафиком B, что приводит к одному потоку данных для мониторинга полнодуплексной связи. Пакеты должны быть выровнены в один поток с использованием алгоритма времени прибытия.

Поставщики склонны использовать в своем маркетинге такие термины, как breakout , пассивный , aggregating , regeneration , bypass, active, inline power и другие; К сожалению, поставщики не используют такие термины последовательно. Перед покупкой любого продукта важно понять доступные функции и проконсультироваться с поставщиками или внимательно прочитать литературу о продукте, чтобы выяснить, насколько маркетинговые термины соответствуют действительности. Все «термины поставщиков» распространены в отрасли, имеют реальные определения и являются ценными моментами рассмотрения при покупке устройства для подключения.

Распределенный ответвитель — это набор сетевых ответвителей, которые передают данные в централизованную систему мониторинга или анализатор пакетов .

Существуют различные методы мониторинга сети. Можно использовать множество методов прослушивания в зависимости от сетевой технологии, цели мониторинга, доступных ресурсов и размера целевой сети. Различные методы будут разработаны ниже.

Этот тип прослушивания фокусируется на прослушивании с использованием программного обеспечения и без внесения существенных изменений в аппаратное обеспечение инфраструктуры. Этот тип прослушивания часто является самым дешевым для внедрения, но он требует нескольких внедрений, чтобы дать действительно полный вид сети.

Самый простой тип мониторинга — это вход в интересное устройство и запуск программ или команд, которые показывают статистику производительности и другие данные. Это самый дешевый способ мониторинга сети, который отлично подходит для небольших сетей. Однако он плохо масштабируется для больших сетей. Он также может повлиять на отслеживаемую сеть; см. эффект наблюдателя .

Другой способ мониторинга устройств — использовать протокол удаленного управления, такой как SNMP , чтобы спрашивать устройства об их производительности. Это хорошо масштабируется , но не обязательно подходит для всех типов мониторинга. Неотъемлемой проблемой SNMP является эффект опроса. Многие поставщики смягчили это, используя интеллектуальные планировщики опроса, но это все равно может повлиять на производительность контролируемого устройства. Это также открывает множество потенциальных проблем безопасности.

Другой метод мониторинга сетей — использование зеркалирования портов (называемого «SPAN» для Switched Port Analyzer, такими поставщиками, как Cisco, ^[1] и имеющего другие названия, такие как телеметрия MLXe от Brocade Communications и других поставщиков) (также известного как порт MIRROR) или протокола мониторинга, такого как TZSP на маршрутизаторах и коммутаторах . Это недорогая альтернатива сетевым ответвителям, которая решает многие из тех же проблем. Однако не все маршрутизаторы и коммутаторы поддерживают зеркалирование портов, а на тех, которые поддерживают, использование зеркалирования портов может повлиять на производительность маршрутизатора или коммутатора. Эти технологии также могут быть подвержены проблеме с полным дуплексом, описанной в другом месте этой статьи, и часто существуют ограничения для маршрутизатора или коммутатора на то, сколько сквозных сеансов может отслеживаться или сколько портов мониторинга (обычно два) могут отслеживать данный сеанс. Часто, когда порт SPAN перегружен, пакеты будут отбрасываться до того, как достигнут устройства мониторинга. Также существует вероятность потери некоторых пакетов с ошибками, которые могут вызывать проблемы. Если эти данные не отправляются на устройство мониторинга из-за потери, устранить неполадки невозможно, независимо от того, насколько продвинутое устройство используется.

Этот метод прослушивания заключается в включении неразборчивого режима на устройстве, которое используется для мониторинга, и подключении его к сетевому концентратору . Это хорошо работает со старыми технологиями LAN , такими как 10BASE2 , FDDI и Token Ring . В таких сетях любой хост может автоматически видеть, что делали все другие хосты, включив неразборчивый режим. Однако современные технологии коммутируемых сетей создают соединения точка-точка между парами устройств, что делает невозможным прослушивание сетевого трафика с помощью этого метода.

Этот тип постукивания фокусируется на постукивании с использованием исключительного оборудования.

Этот метод заключается в установке устройства между сетевым кабелем и устройством, которое Администратор/Злоумышленник хочет «подслушать». Когда устройство мониторинга установлено в линию, сеть будет останавливаться каждый раз, когда устройство выходит из строя или отключается. Устройство-«жертва» может перестать получать трафик, когда подслушивающее устройство обновляется/перезагружается, если указанные механизмы не были интегрированы разумным образом (т. е. это предотвратит возникновение этого сценария).

Некоторые ответвители, особенно оптоволоконные , не используют питание и электронику вообще для сквозной и контрольной части сетевого трафика. Это означает, что ответвитель никогда не должен испытывать никаких сбоев электроники или питания, которые приводят к потере сетевого подключения. Один из способов, которым это может работать, для волоконно-оптических сетевых технологий, заключается в том, что ответвитель разделяет входящий свет с помощью простого физического устройства на два выхода, один для сквозной передачи , один для монитора . Это можно назвать пассивным ответвлением. Другие ответвители не используют питание или электронику для сквозной передачи , но используют питание и электронику для порта монитора . Их также можно назвать пассивными .

V-Line Tapping — наиболее важный метод системы Tapping. V-Line Tapping (также известный как Bypass Tapping) позволяет разместить обслуживаемую систему фактически в линию. Размещение этого устройства в линии нарушит целостность критически важной сети. Разместив систему Tapping вместо устройства мониторинга и подключив устройство мониторинга к системе Tapping, можно гарантировать, что трафик будет продолжать поступать, и устройство не создаст точку отказа в сети. ^[2] Этот метод всегда передает каждый пакет, даже пакеты с ошибками, которые порт SPAN может отбросить, на устройство мониторинга. Этот метод включает использование шпионского программного обеспечения на целевой машине. Для системного администратора этот тип решения является самым простым в реализации и наиболее экономически эффективным; Однако для злоумышленника этот тип прослушивания очень рискован, так как его легко обнаружить с помощью сканирования системы. Система прослушивания будет удалена после перезагрузки, если шпионское программное обеспечение было установлено непостоянным способом на системе, которая выполняет Live-OS .

Современные сетевые технологии часто являются полнодуплексными , что означает, что данные могут передаваться в обоих направлениях одновременно. Если сетевое соединение позволяет передавать данные со скоростью 100 Мбит/с в каждом направлении одновременно, это означает, что сеть действительно позволяет передавать 200 Мбит/с совокупной пропускной способности . Это может представлять проблему для технологий мониторинга, если у них есть только один порт монитора. Поэтому сетевые ответвители для полнодуплексных технологий обычно имеют два порта монитора, по одному для каждой половины соединения. Прослушиватель должен использовать связывание каналов или агрегацию каналов , чтобы объединить два соединения в один совокупный интерфейс, чтобы видеть обе половины трафика. Другие технологии мониторинга, такие как пассивные оптоволоконные сетевые ответвители, не справляются с полнодуплексным трафиком.

После того, как сетевой ответвитель установлен, сеть можно контролировать, не вмешиваясь в саму сеть. Другие решения для мониторинга сети требуют внутриполосных изменений сетевых устройств, что означает, что мониторинг может повлиять на контролируемые устройства. Этот сценарий предназначен для активных встроенных инструментов безопасности, таких как межсетевые экраны нового поколения , системы предотвращения вторжений и межсетевые экраны веб-приложений .

После установки ответвления к нему можно по мере необходимости подключать устройство мониторинга, не влияя на контролируемую сеть.

Некоторые ответвители имеют несколько выходных портов или несколько пар выходных портов для полного дуплекса, чтобы позволить нескольким устройствам контролировать сеть в точке ответвления. Их часто называют регенерирующими ответвителями.

Некоторые ответвители работают на физическом уровне модели OSI, а не на уровне канала передачи данных . Например, они работают с многомодовым волокном, а не с 1000BASE-SX . Это означает, что они могут работать с большинством технологий сетей передачи данных, использующих эту физическую среду, например, ATM и некоторые формы Ethernet. Сетевые ответвители, которые действуют как простые оптические разветвители , иногда называемые пассивными ответвителями (хотя этот термин используется непоследовательно), могут обладать этим свойством.

Некоторые сетевые ответвители предлагают как дублирование сетевого трафика для устройств мониторинга, так и SNMP-сервисы. Большинство основных производителей сетевых ответвителей предлагают ответвители с удаленным управлением через интерфейсы Telnet, HTTP или SNMP. Такие гибриды сетевых ответвителей могут быть полезны для сетевых менеджеров, желающих просматривать базовую статистику производительности, не отвлекая существующие инструменты. В качестве альтернативы, сигналы тревоги SNMP, генерируемые управляемыми ответвителями, могут оповещать сетевых менеджеров о необходимости связывать условия, заслуживающие проверки анализаторами, с системами обнаружения вторжений.

Некоторые краны получают часть своей мощности (т. е. для прохода ) или всю свою мощность (т. е. как для прохода, так и для мониторинга ) от самой сети. Их можно назвать имеющими встроенное питание .

Некоторые ответвители также могут воспроизводить сетевые ошибки низкого уровня, такие как короткие кадры, неверный CRC или поврежденные данные.

Вот некоторые преимущества сетевого ответвления по сравнению с зеркалированием портов или SPAN:

• Пассивный; отказоустойчивый
• Нулевая конфигурация
• Безопасный
• Точная копия сетевого трафика
• Никаких дополнительных задержек или изменений во времени.
• Пропускает сетевые ошибки в дополнение к хорошим кадрам/пакетам
• Переподписка не проблема

Поскольку сетевые ответвители требуют дополнительного оборудования, они не так дешевы, как технологии, использующие возможности, встроенные в сеть. Однако сетевые ответвители проще в управлении и обычно предоставляют больше данных, чем некоторые сетевые устройства.

Сетевые отводы могут потребовать связывания каналов на устройствах мониторинга, чтобы обойти проблему с полным дуплексом, обсуждавшуюся выше. Поставщики обычно называют это также агрегацией.

Установка сетевого ответвителя нарушит работу контролируемой сети на короткое время. ^[3] Тем не менее, кратковременное прерывание работы предпочтительнее многократного отключения сети для развертывания инструмента мониторинга. Рекомендуется установить хорошие руководящие принципы для размещения сетевых ответвителей.

Мониторинг больших сетей с использованием сетевых ответвителей может потребовать много устройств мониторинга. Высокопроизводительные сетевые устройства часто позволяют включать порты в качестве зеркальных портов , что является программным сетевым ответвлением. В то время как любой свободный порт может быть настроен как зеркальный порт, программные ответвители требуют настройки и создают нагрузку на сетевые устройства.

Даже полностью пассивные сетевые ответвители вносят новые точки отказа в сеть. Существует несколько способов, которыми ответвители могут вызывать проблемы, и это следует учитывать при создании архитектуры ответвителей. Рассмотрите непитаемые ответвители для оптических сред или сетевой ответвитель типа «звезда» для медного 100BASE-TX . Это позволяет вам модифицировать интеллектуальные агрегационные ответвители, которые могут использоваться, и избежать любых осложнений при обновлении со 100 мегабит до гигабит и до 10 гигабит. Настоятельно рекомендуется использовать резервные источники питания .

Полностью пассивное подключение возможно только на оптических соединениях любой пропускной способности и на медных соединениях типа G703 (2 Мбит) и Ethernet Base-T 10/100 Мбит. На гигабитных и 10 Гбит Base-T соединениях пассивное подключение в настоящее время невозможно.

Меры противодействия сетевым подслушиваниям включают шифрование и системы сигнализации. Шифрование может сделать украденные данные непонятными для вора. Однако шифрование может быть дорогим решением, и существуют также опасения по поводу пропускной способности сети при его использовании.

Другой контрмерой является размещение оптоволоконного датчика в существующем кабельном канале, трубопроводе или бронированном кабеле. В этом сценарии любой, кто пытается физически получить доступ к данным (медной или оптоволоконной инфраструктуре), обнаруживается системой сигнализации. Небольшое количество производителей систем сигнализации предоставляют простой способ мониторинга оптоволокна на предмет физических нарушений вторжения. Существует также проверенное решение, которое использует существующее темное (неиспользуемое) волокно в многожильном кабеле с целью создания системы сигнализации.

В сценарии с тревожным кабелем механизм обнаружения использует оптическую интерферометрию, в которой модально-дисперсионный когерентный свет, проходящий через многомодовое волокно, смешивается на конце волокна, что приводит к характерному узору из светлых и темных пятен, называемому спеклом. Лазерный спекл стабилен, пока волокно остается неподвижным, но мерцает, когда волокно вибрирует. Волоконно-оптический датчик работает, измеряя временную зависимость этого узора спеклов и применяя цифровую обработку сигнала к быстрому преобразованию Фурье (БПФ) временных данных.

Правительство США обеспокоено угрозой прослушивания в течение многих лет, а также другими формами преднамеренного или случайного физического вторжения. В контексте сетей Министерства обороны США (DOD) защищенные распределительные системы (PDS) представляют собой набор военных инструкций и руководств по физической защите сетей. PDS определяется как система носителей (кабельные каналы, трубопроводы, каналы и т. д.), которые используются для распространения военной и национальной информации по безопасности (NSI) между двумя или более контролируемыми областями или из контролируемой области через область с меньшей классификацией (т. е. за пределами SCIF или другой аналогичной области). Инструкция по безопасности телекоммуникационных и информационных систем национальной безопасности (NSTISSI) № 7003, защищенные распределительные системы (PDS), содержит руководство по защите проводной линии SIPRNET и оптоволоконной PDS для передачи незашифрованной секретной национальной информации по безопасности (NSI).

Сигнал 1000BASE-T использует модуляцию PAM 5, что означает, что каждая пара кабелей передает 5 бит одновременно в обоих направлениях. Чипы PHY на каждом конце кабеля имеют очень сложную задачу, поскольку они должны отделить два сигнала друг от друга. Это возможно только потому, что они знают свой собственный сигнал, поэтому они могут вычитать свои собственные сигналы отправки из смешанных сигналов на линии, а затем интерпретировать информацию, отправленную их партнерами по соединению.

Чтобы подключиться к медному соединению, как показано на рисунке выше, невозможно просто подключиться к середине провода, потому что все, что вы увидите, это сложная модуляция двух сигналов. Единственный способ завершить сигнал (как показано на рисунке) — использовать чип PHY для разделения сигнала, а затем отправить сигнал партнеру по соединению. Это решение работает, но вызывает некоторые другие проблемы.

1. Он больше не пассивен, поэтому в случае сбоя соединение может выйти из строя, а услуги на соединении будут прерваны. Чтобы минимизировать эту проблему, каждый медный ответвитель имеет обходной переключатель (реле), который замыкается в ситуации отключения питания (как показано на рисунке), чтобы восстановить соединение. Кроме того, это решение не будет определять, что соединение отключено в течение как минимум трех секунд. Эти три секунды являются результатом поведения автосогласования. Это нельзя изменить, поскольку это жизненно важная функция стандарта IEEE 802.3, как описано в пунктах 28 и 40. Даже это короткое время прерывания может вызвать большие проблемы в сети.
   • В некоторых случаях эти связи невозможно восстановить без отключения служб.
   • В сети могут иметь место функции перемаршрутизации
   • Приложения потоковой передачи данных могут выйти из строя и вызвать еще больше проблем.
2. Некоторая информация уровня 1 не передается по медному ответвлению (например, кадры паузы)
3. Нарушается синхронизация часов. Sync-E по стандартному медному ответвлению Gbit невозможен, а также нарушается IEEE 1588 из-за дополнительной задержки, которую создает медное ответвление.

• Виртуальное TAP-устройство
• DЩит
• ЩитыВВЕРХ

• Создайте пассивный сетевой ответвитель