Сетевой кран — это система, которая отслеживает события в локальной сети. Ответвитель обычно представляет собой специальное аппаратное устройство, которое обеспечивает доступ к данным, проходящим через компьютерную сеть .
Сетевой ответвитель имеет (как минимум) три порта: порт A , порт B и порт монитора . Отвод, вставленный между A и B, беспрепятственно пропускает весь трафик (потоки отправки и получения данных) в режиме реального времени, а также копирует те же данные на свой порт монитора, позволяя третьей стороне прослушивать.
Сетевые перехватчики обычно используются для систем обнаружения сетевых вторжений , записи VoIP , сетевых зондов, зондов RMON , анализаторов пакетов и других устройств и программного обеспечения для мониторинга и сбора данных, которым требуется доступ к сегменту сети . Перехватчики используются в приложениях безопасности, поскольку они ненавязчивы, не обнаруживаются в сети (не имеют физического или логического адреса), могут работать с полнодуплексными и частными сетями и обычно пропускают или обходят трафик, даже если кран перестает работать или теряет мощность.
Термин «прослушивание сети» аналогичен прослушиванию телефона или прослушиванию вампиров . Некоторые поставщики определяют TAP как аббревиатуру тестовой точки доступа или терминальной точки доступа; однако это бэкронимы .
Контролируемый трафик иногда называют сквозным трафиком , а порты, используемые для мониторинга, являются портами мониторинга . Также может быть порт агрегации для полнодуплексного трафика, где трафик A объединяется с трафиком B, в результате чего образуется один поток данных для мониторинга полнодуплексной связи. Пакеты должны быть выровнены в один поток с использованием алгоритма времени прибытия.
Поставщики будут склонны использовать в своем маркетинге такие термины, как прорыв , пассивное , агрегирование , регенерация , байпас, активное, встроенное питание и другие; К сожалению, поставщики не используют такие термины последовательно. Прежде чем покупать какой-либо продукт, важно понять доступные функции и проконсультироваться с поставщиками или внимательно прочитать литературу по продукту, чтобы выяснить, насколько маркетинговые термины соответствуют действительности. Все «термины поставщиков» распространены в отрасли, имеют реальные определения и являются ценными моментами при покупке крана.
Распределенный отвод — это набор сетевых отводов, которые передают данные централизованной системе мониторинга или анализатору пакетов .
Существуют различные методы мониторинга сети. Можно использовать множество методов прослушивания в зависимости от сетевой технологии, цели мониторинга, доступных ресурсов и размера целевой сети. Ниже будут разработаны различные методы.
Этот тип прослушивания фокусируется на прослушивании с использованием программного обеспечения без внесения каких-либо существенных изменений в аппаратное обеспечение инфраструктуры. Этот тип прослушивания часто является самым дешевым в реализации, но для обеспечения действительно полного вида сети требуется несколько реализаций.
Самый простой вид мониторинга — вход в интересующее устройство и запуск программ или команд, которые показывают статистику производительности и другие данные. Это самый дешевый способ мониторинга сети, который отлично подходит для небольших сетей. Однако он плохо масштабируется для крупных сетей. Это также может повлиять на отслеживаемую сеть; см. эффект наблюдателя .
Другой способ мониторинга устройств — использовать протокол удаленного управления, например SNMP, для опроса устройств об их производительности. Это хорошо масштабируется , но не обязательно подходит для всех типов мониторинга. Неотъемлемой проблемой SNMP является эффект опроса. Многие поставщики решили эту проблему, используя интеллектуальные планировщики опросов, но это все равно может повлиять на производительность отслеживаемого устройства. Это также открывает множество потенциальных проблем безопасности.
Другой метод мониторинга сетей - использовать зеркалирование портов (называемое «SPAN» для анализатора коммутируемых портов такими поставщиками, как Cisco, [1] и получившее другие названия, такие как телеметрия MLXe, от Brocade Communications и других поставщиков) (также известное как MIRROR порт) или протокол мониторинга, такой как TZSP, на маршрутизаторах и коммутаторах . Это недорогая альтернатива сетевым отводам, которая решает многие из тех же проблем. Однако не все маршрутизаторы и коммутаторы поддерживают зеркалирование портов, а на тех, которые поддерживают, использование зеркалирования портов может повлиять на производительность маршрутизатора или коммутатора. Эти технологии также могут быть подвержены проблемам с полнодуплексным режимом , описанным в другом месте в этой статье, и часто существуют ограничения для маршрутизатора или коммутатора на количество сквозных сеансов, которые можно отслеживать, или на количество портов мониторинга (обычно два). контролировать данную сессию. Часто, когда порт SPAN перегружен, пакеты отбрасываются, не дойдя до устройства мониторинга. Также существует вероятность потери некоторых пакетов ошибок, которые могут вызвать проблемы. Если эти данные не отправляются на устройство мониторинга из-за того, что они были потеряны, устранить неполадку невозможно, независимо от того, насколько продвинутое устройство может быть использовано.
Этот метод прослушивания заключается во включении беспорядочного режима на устройстве, которое используется для мониторинга, и подключении его к сетевому концентратору . Это хорошо работает со старыми технологиями локальных сетей , такими как 10BASE2 , FDDI и Token Ring . В таких сетях любой хост может автоматически видеть, что делали все остальные хосты, включив неразборчивый режим. Однако современные технологии коммутируемых сетей создают двухточечные соединения между парами устройств, что делает невозможным перехват сетевого трафика с помощью этого метода.
Этот тип прослушивания фокусируется на прослушивании с использованием значительного аппаратного обеспечения.
Этот метод заключается в установке устройства между сетевым кабелем и устройством, которое администратор/злоумышленник хочет «подслушать». Если устройство мониторинга установлено в линию, сеть будет останавливаться каждый раз, когда устройство выходит из строя или выключается. Устройство-«жертва» может перестать получать трафик, когда прослушивающее устройство обновляется/перезагружается, если указанные механизмы не были интегрированы разумным способом (то есть это предотвратило бы реализацию этого сценария).
Некоторые ответвители, особенно оптоволоконные , вообще не используют электропитание и электронику для передачи и мониторинга части сетевого трафика. Это означает, что в кране никогда не должно быть сбоев электроники или сбоев питания, которые приводят к потере подключения к сети. Один из способов, которым это может работать для оптоволоконных сетевых технологий, заключается в том, что ответвитель разделяет входящий свет с помощью простого физического устройства на два выхода: один для проходного сигнала , другой для монитора . Это можно назвать пассивным отводом. Другие ответвители не используют питание или электронику для сквозного подключения , но используют питание и электронику для порта монитора . Их также можно назвать пассивными .
Нарезание V-образной линии является наиболее важным методом нарезания резьбы. Врезка V-образной линии (также известная как байпасная врезка) позволяет разместить обслуживаемую систему практически в линии. Включение этого устройства в сеть поставит под угрозу целостность критически важной сети. Разместив систему прослушивания вместо устройства мониторинга и подключив устройство мониторинга к системе прослушивания, можно гарантировать, что трафик будет продолжать течь, и устройство не создаст точку отказа в сети. [2] Этот метод всегда передает каждый пакет, даже пакеты ошибок, которые может отбросить порт SPAN, на устройство мониторинга. Этот метод предполагает использование шпионского программного обеспечения на целевой машине. Для системного администратора этот тип решения является самым простым в реализации и наиболее экономически эффективным; Однако для злоумышленника такой тип прослушивания очень рискован, поскольку его легко обнаружить при сканировании системы. Система прослушивания будет удалена после перезагрузки, если шпионское программное обеспечение было установлено непостоянно в системе, на которой работает Live-OS .
Современные сетевые технологии часто являются полнодуплексными , а это означает, что данные могут передаваться в обоих направлениях одновременно. Если сетевое соединение позволяет передавать данные со скоростью 100 Мбит/с одновременно в каждом направлении, это означает, что сеть действительно обеспечивает совокупную пропускную способность 200 Мбит/с . Это может представлять проблему для технологий мониторинга, если они имеют только один порт монитора. Поэтому сетевые ответвители для полнодуплексных технологий обычно имеют два порта монитора, по одному на каждую половину соединения. Прослушиватель должен использовать объединение каналов или агрегацию каналов , чтобы объединить два соединения в один совокупный интерфейс и видеть обе половины трафика. Другие технологии мониторинга, такие как TAP пассивной оптоволоконной сети, плохо справляются с полнодуплексным трафиком.
После установки сетевого отвода сеть можно контролировать, не вмешиваясь в саму сеть. Другие решения для мониторинга сети требуют внутриполосных изменений сетевых устройств, а это означает, что мониторинг может повлиять на отслеживаемые устройства. Этот сценарий предназначен для активных встроенных инструментов безопасности, таких как брандмауэры нового поколения, системы предотвращения вторжений и брандмауэры веб-приложений.
После установки ответвления к нему можно подключить устройство мониторинга по мере необходимости, не влияя на контролируемую сеть.
Некоторые ответвители имеют несколько выходных портов или несколько пар выходных портов для полнодуплексного режима, что позволяет нескольким устройствам контролировать сеть в точке ответвления. Их часто называют кранами регенерации .
Некоторые ответвления работают на физическом уровне модели OSI , а не на уровне канала передачи данных . Например, они работают с многомодовым оптоволокном , а не с 1000BASE-SX . Это означает, что они могут работать с большинством технологий сетей передачи данных, использующих эту физическую среду, например ATM и некоторые формы Ethernet. Этим свойством могут обладать сетевые ответвители, действующие как простые оптические разветвители , иногда называемые пассивными ответвителями (хотя этот термин не используется постоянно).
Некоторые сетевые перехватчики предлагают как дублирование сетевого трафика для устройств мониторинга, так и услуги SNMP. Большинство крупных производителей сетевых ответвителей предлагают ответвители с удаленным управлением через интерфейсы Telnet, HTTP или SNMP. Такие гибридные сетевые ответвления могут быть полезны сетевым менеджерам, которые хотят просматривать базовую статистику производительности, не отвлекаясь от существующих инструментов. Альтернативно, сигналы тревоги SNMP, генерируемые управляемыми перехватчиками, могут предупреждать сетевых администраторов о необходимости связать условия, которые заслуживают проверки анализаторами, с системами обнаружения вторжений.
Некоторые ответвители получают часть своей мощности (т. е. для сквозной передачи ) или всю свою мощность (т. е. как для сквозной передачи, так и для монитора ) от самой сети. Их можно назвать имеющими встроенную мощность .
Некоторые перехваты также могут воспроизводить сетевые ошибки низкого уровня, такие как короткие кадры, неправильный CRC или поврежденные данные.
Вот некоторые преимущества сетевого ответвления перед зеркалированием портов или SPAN:
Поскольку сетевые перехватчики требуют дополнительного оборудования, они не так дешевы, как технологии, использующие возможности, встроенные в сеть. Однако сетевыми перехватчиками проще управлять, и они обычно предоставляют больше данных, чем некоторые сетевые устройства.
Сетевые перехватчики могут потребовать объединения каналов на устройствах мониторинга, чтобы обойти проблему с полнодуплексным режимом, описанную выше. Поставщики обычно также называют это агрегацией.
Установка сетевого отвода на короткое время нарушит работу контролируемой сети. [3] Несмотря на это, кратковременный сбой предпочтительнее, чем многократное отключение сети для развертывания инструмента мониторинга. Рекомендуется установить хорошие рекомендации по размещению сетевых ответвителей.
Для мониторинга больших сетей с помощью сетевых перехватчиков может потребоваться множество устройств мониторинга. Высокопроизводительные сетевые устройства часто позволяют включать порты в качестве зеркальных портов , что является программным сетевым перехватом. Хотя любой свободный порт можно настроить как зеркальный порт, программные ответвители требуют настройки и создают нагрузку на сетевые устройства.
Даже полностью пассивные перехватчики сети создают в сети новые точки отказа . Существует несколько причин, по которым ответвления могут вызвать проблемы, и это следует учитывать при создании архитектуры ответвителей. Рассмотрите ответвители без питания для сред, использующих только оптические кабели, или ответвители сети типа «звезда» для медного кабеля 100BASE-TX . Это позволяет вам модифицировать отводы интеллектуального агрегирования, которые могут использоваться, и позволяет избежать каких-либо осложнений при обновлении со 100-мегабитного до 10-гигабитного. Настоятельно рекомендуется использовать резервные источники питания .
Полностью пассивный режим возможен только на оптических соединениях любой пропускной способности и на медных соединениях типа G703 (2Мбит) и Ethernet Base-T 10/100 Мбит. В соединениях Gigabit и 10 Gbit Base-T пассивное прослушивание в настоящее время невозможно.
Меры противодействия прослушиванию сетей включают системы шифрования и сигнализации. Шифрование может сделать украденные данные непонятными для вора. Однако шифрование может быть дорогостоящим решением, и при его использовании также возникают проблемы с пропускной способностью сети.
Еще одной контрмерой является размещение оптоволоконного датчика в существующей кабельной трассе, кабелепроводе или бронированном кабеле. В этом сценарии любой, кто пытается физически получить доступ к данным (медной или оптоволоконной инфраструктуре), обнаруживается системой сигнализации. Небольшое количество производителей систем охранной сигнализации предлагают простой способ мониторинга оптоволокна на предмет физических помех. Существует также проверенное решение, которое использует существующее темное (неиспользуемое) волокно в многожильном кабеле с целью создания системы сигнализации.
В сценарии с тревожным кабелем чувствительный механизм использует оптическую интерферометрию, при которой когерентный свет с модальной дисперсией, проходящий через многомодовое волокно, смешивается на конце волокна, в результате чего образуется характерный узор из светлых и темных пятен, называемый спеклом. Лазерный спекл стабилен, пока волокно остается неподвижным, но мерцает, когда волокно вибрирует. Волоконно-оптический датчик работает, измеряя временную зависимость этого спекл-паттерна и применяя цифровую обработку сигнала к быстрому преобразованию Фурье (БПФ) временных данных.
Правительство США уже много лет обеспокоено угрозой прослушивания, а также другими формами преднамеренного или случайного физического вторжения. В контексте сетей секретной информации Министерства обороны (DOD) «Защищенные системы распределения» (PDS) представляют собой набор военных инструкций и руководств по физической защите сетей. PDS определяется для системы носителей (каналов, каналов, коробов и т. д.), которые используются для распространения военной информации и информации национальной безопасности (NSI) между двумя или более контролируемыми зонами или из контролируемой зоны через зону меньшей секретности (т. е. , за пределами SCIF или другой подобной территории). Инструкция по безопасности телекоммуникационных и информационных систем национальной безопасности (NSTISSI) № 7003 «Защитные системы распределения» (PDS) содержит рекомендации по защите проводной линии SIPRNET и оптоволоконных PDS для передачи незашифрованной секретной информации национальной безопасности (NSI).
Сигнал 1000BASE-T использует модуляцию PAM 5, что означает, что каждая кабельная пара передает 5 бит одновременно в обоих направлениях. Перед чипами PHY на каждом конце кабеля стоит очень сложная задача, поскольку они должны отделять два сигнала друг от друга. Это возможно только потому, что они знают свой собственный сигнал, поэтому они могут вычитать свои собственные сигналы отправки из смешанных сигналов на линии, а затем интерпретировать информацию, отправленную их партнерами по каналу связи.
Чтобы коснуться медного звена, как показано на рисунке выше, невозможно просто коснуться середины провода, поскольку все, что вы увидите, — это сложная модуляция двух сигналов. Единственный способ прекратить сигнал (как показано на рисунке) — использовать чип PHY для разделения сигнала, а затем отправить его партнеру по каналу связи. Это решение работает, но вызывает некоторые другие проблемы.