Выбираем между TAP и SPAN? Особенности применения, преимущества и недостатки
Читайте в статье:
● Что такое SPAN-порт? ● SPAN: особенности применения, преимущества и недостатки - Случаи использования технологии SPAN - Недостатки технологии ● Что такое TAP (Test Access Point)? ● TAP: особенности применения, преимущества и недостатки - Случаи использования технологии TAP - Недостатки технологии - Какие виды TAP бывают? ● TAP vs. SPAN: что выбрать?
Организация безопасности и производительности в больших сетях может быть сложной задачей. Увеличение частоты использования облачных сервисов, IoT-устройств, SDN и NFV затрудняет предоставление полного и точного представления о сетевом трафике инструментами визуализации. Вместе с этим, использование зашифрованного трафика и наличие несанкционированных устройств могут затруднить выявление потенциальных угроз для безопасности и реагирования на них и вызвать проблемы с производительностью.
Поэтому надлежащий уровень безопасности и производительности может существовать только при условии полной Network Visibility (видимость сети или сетевая видимость), то есть меры знаний компании о данных и компонентах корпоративной сети.
За понятием Network Visibility чаще всего стоит процесс удаления слепых зон, которые не позволяют полностью видеть и оценивать состояние сети и приложений. О видимости сети, требованиях к ней и о том, как ее достичь, мы писали в предыдущей статье. А сейчас поговорим подробнее о способах сбора сетевого трафика и его перенаправления в необходимые системы с помощью TAP и SPAN-портов — дадим определение и сравним их характеристики, чтобы вы могли выбрать наиболее подходящее решение для вашей организации.
Что такое SPAN-порт?
SPAN (Switched Port Analyzer), или зеркальный порт — это функция сетевых коммутаторов или маршрутизаторов, которая позволяет копировать и отправлять копию сетевого трафика с одного или нескольких портов-источников на порт назначения, то есть она создает копию выбранных пакетов, которые проходят через устройство и отправляет их на указанный SPAN-порт. Используя программное обеспечение, администратор может настроить или изменить данные, которые нужно мониторить.
С появлением SPAN-портов исчезла необходимость подключения средств мониторинга непосредственно к сети. Наличие SPAN на коммутаторе обычно указывает на возможность зеркалирования трафика с любого или всех портов в один неиспользуемый порт, но при этом запрещает двунаправленный трафик на этом порту для защиты от обратного потока трафика в сеть. Технологию SPAN изначально разрабатывали как тестовую точку обеспечения и контроля качества (отладки) устройств для самих производителей сетевого оборудования, а точку доступа к "зеркалу" трафика реализовали позже.
Вот как это работает:
1. Вы выбираете один или несколько сетевых портов-источников, с которых хотите перехватить или отзеркалить трафик, в зависимости от ваших потребностей в мониторинге. Порты-источники обычно подключаются к устройствам, таким как серверы, маршрутизаторы или другие сетевые устройства, трафик которых вы хотите отслеживать.
2. Зеркальный трафик отправляется на порт назначения. Инструменты сетевого мониторинга или анализаторы подключаются к порту назначения для перехвата и анализа скопированного сетевого трафика.
3. Коммутатор копирует трафик с портов-источников и перенаправляет его на порт назначения. Это позволяет инструментам мониторинга перехватывать и анализировать сетевые пакеты, не влияя на поток трафика на исходящих портах.
SPAN: особенности применения, преимущества и недостатки
Чтобы понять, как и для чего использовать SPAN, стоит ответить на следующие вопросы:
● Это пассивная технология? — Нет, поскольку SPAN-порты могут заметно влиять на пакеты данных и их синхронизацию.
● Можно ли ее масштабировать? — Нет, поскольку это встроенная функция. Максимальная пропускная способность превышает базовую вдвое, поэтому ни один коммутатор или маршрутизатор не справится со 100% отражением данных параллельно со своими основными задачами.
Случаи использования технологии SPAN
Решения для мониторинга могут успешно использовать SPAN для отражения трафика, если они работают с такими событиями как "анализ диалога или соединения", "потоки приложений", которые используют небольшую часть полосы пропускания коммутатора. То есть это те случаи, когда потеря пакетов и временные сдвиги не повлияют существенно на качество отчетов и статистики мониторинга, поскольку не нужен каждый кадр.
SPAN может использоваться:
● На удаленных площадках, где постоянное развертывание средств мониторинга и анализа не оправдано, и можно организовать временное решение для устранения неисправностей. ● На участках сети с ограниченным оптическим бюджетом, где коэффициент разделения TAP может вносить недопустимые затухания. ● Когда нет окна технического обслуживания, в котором можно было бы установить TAP, что облегчает действия во время аварийных ситуаций на предприятиях. ● Если необходим доступ к трафику в случаях, когда он находится вне коммутатора или нет возможности установить физическое соединение, к которому был бы подключен TAP.
Недостатки технологии
Дублирование данных трафика. Поскольку SPAN-порты делают дубликаты пакетов данных, это негативно влияет на эффективность инструментов мониторинга.
● Потеря пакетов. В случаях перегрузки портов, переподписания или наличия ошибок на портах, пакеты данных отбрасываются. Вместе с этим образуется слепая точка (отсутствует видимость пользовательского трафика), которая препятствует обнаружению серьезных ошибок в работе сети, а также возможного вирусного трафика или действий злоумышленников. ● Ограниченная совместимость с коммутаторами. Не все сетевые коммутаторы поддерживают зеркальное отражение портов. Если ваш коммутатор не имеет этой функции, вы не сможете использовать его для мониторинга сети. ● Ресурсозатратность. Поскольку порты SPAN копируют весь трафик с портов-источников на порт назначения, важно использовать их разумно, чтобы избежать перегрузки инструментов мониторинга или порта назначения избыточными данными. ● Дополнительные расходы. Организации могут сталкиваться с дополнительными затратами, когда возникает потребность в увеличении CPU и памяти из-за нарастающей нагрузки на switch. Поэтому OPEX на поддержку SPAN-портов могут быть высокими. ● Сниженная отказоустойчивость SPAN-доступа. Коммутатор обрабатывает данные SPAN с более низким приоритетом, чем обычные данные от порта к порту. То есть, если любой коммутатор/маршрутизатор под нагрузкой должен выбирать между передачей обычного трафика и SPAN-трафика, SPAN в аутсайдерах, а зеркальные кадры будут произвольно отбрасываться. Поэтому SPAN-доступ не является отказоустойчивым и может быть основной точкой сбоя или отказа для ваших систем мониторинга, управления и информационной безопасности. ● Образование слепых зон. Поскольку SPAN-порты программируют через командную строку, если они неправильно настроены, это приведет к образованию слепых зон для мониторинга и сбоям. ● Проблемы с compliance. В некоторых странах SPAN не соответствует требованиям законодательства по перехвату данных. ● Туннелированный трафик. SPAN не умеет работать со скрытым трафиком, который передается через общедоступную сеть.
Иначе говоря, SPAN-порт — это полезная технология, если ее используют правильно, в хорошо управляемой сети и по проверенной методологии. Однако, при определенных условиях, она имеет много недостатков.
Что такое TAP (Test Access Point)?
Ответвитель сетевого трафика, или просто TAP (Test Access Point) — это аппаратное устройство, которое напрямую подключают в кабельную инфраструктуру сети между двумя сетевыми устройствами, чтобы все данные проходили через него. Это нужно для перехвата, дублирования, а затем передачи трафика различным системам мониторинга и анализа. Например, NPM, DLP, SIEM и т. д.
Большинство TAP отдельно копируют потоки передачи устройств, отправляя их в отдельные порты мониторинга. Самый простой TAP состоит из двух сетевых портов A и B, а также двух мониторинг-портов A и B.
Вот как это работает:
Схема подключения TAP "в разрыв" / "in-line"
Схема потока трафика, который проходит через TAP
TAP: особенности применения, преимущества и недостатки
TAP имеют много преимуществ, которые помогают справляться с недостатками SPAN, например:
● В первую очередь — это отдельное физическое или виртуальное оборудование, которое не ограничивает вас количеством портов на коммутаторе. ● Они не требуют дополнительных настроек после установки. ● TAP не сбрасывает пакеты данных во время высоких нагрузок, даже если они повреждены или некорректны — именно это позволяет обеспечить полную network visibility и увидеть все проблемные участки, уязвимости сети и тому подобное. ● Он не вносит изменения в копию трафика. ● TAP не является объектом атак злоумышленников, в отличие от коммутаторов. ● Он может использоваться как bypass-решение для сторонних систем, которые подключаются "в разрыв".
Рисунок. Потоки трафика в сетевом TAP
Случаи использования технологии TAP
TAP создают 100% копию двунаправленного трафика. Это обеспечивает большую точность мониторинга, поскольку не теряются пакеты данных, не изменяется временное соотношение между кадрами, интервалом и временем отклика. Также TAP не приводит к искажению или джитеру данных, что особенно важно для анализа аудио и видео.
Недостатки технологии
TAP имеет много преимуществ перед SPAN-портами, но все же есть исключения: ● Цена. Поскольку TAP — это отдельное физическое или виртуальное устройство, его цену придется добавить к другому сетевому оборудованию. ● Возможные осложнения при масштабировании. Физические тапы занимают пространство, а в некоторых случаях доступа к кабельной инфраструктуре вообще нет, поэтому добавить устройства после настройки сети может быть невозможно. В таких случаях вы можете рассмотреть виртуальные аналоги.
Какие види TAP бывают?
Network TAP — сетевой или Breakout TAP наиболее распространенный тип. Эти тапы направляют восточный и западный трафик в отдельные порты мониторинга, что гарантирует сохранность всех пакетов.
Aggregation TAP — позволяет принимать восточный и западный трафик с нескольких портов, объединять его и выводить в один порт мониторинга, что позволяет оптимизировать использование портов в пакетных брокерах (NPB) или инструментах мониторинга.
Рисунок. Принцип работы Aggregation TAP
Regeneration TAP — позволяет принимать однонаправленный трафик из одного сегмента сети и отправлять его нескольким инструментам мониторинга. Это в свою очередь позволяет обойти ограничение количества доступных SPAN-портов, например, когда в коммутаторе доступен только один порт, а подключить нужно несколько аналитических платформ.
Рисунок. Принцип работы Regeneration TAP
Bypass TAPs — позволяет выполнять подключение активного сетевого инструмента или решения безопасности на критических сетевых соединениях "в разрыв" (bypass). Это уменьшает риск нарушения целостности сети. Таким образом вы можете гарантировать, что соединение будет продолжать работать и не станет точкой отказа.
Рисунок. Штатный режим работы Bypass TA
Virtual TAPs — это программный или виртуализированный аналог физического TAP, реализованный в виде программного обеспечения или виртуальной машины (VM). Они часто используются в облачных средах, где традиционные физические TAP непрактичны или невозможны для развертывания. Виртуальные TAP перехватывают сетевой трафик, проходящий через сетевой интерфейс, и отправляют копию этого трафика на инструмент мониторинга или аналитическую платформу. Многие решения для виртуальных TAP позволяют перехватывать и фильтровать определенные типы сетевого трафика, чтобы сосредоточиться на релевантных данных, подобно физическим точкам доступа.
Некоторые виртуальные тапы не только делают пассивное ответвление, но и выступают сетевыми пакетными брокерами.
Виртуальные точки доступа становятся все более популярными по мере того, как организации переходят на виртуальные и облачные инфраструктуры, позволяя им поддерживать видимость сети в этих динамических средах.
CGS Tower TAPs (Test Access Point) — высококачественные пассивные ответвители, которые работают на широком диапазоне скоростей и сплит-коэффициентов. Они обеспечивают полную копию сетевого трафика, значительно расширяя возможности в области безопасности, мониторинга и записи данных. Кроме пассивного ответвления, виртуальные CGS Tower TAPs также могут обрабатывать и готовить трафик для передачи, а значит они выполняют функции пакетного брокера и не перегружают систему абсолютно всем трафиком.
TAP vs. SPAN: что выбрать?
Прежде чем разворачивать технологию доступа к трафику необходимо:
● Протестировать несколько технологий зеркалирования, чтобы убедиться, что вы получаете данные действительно необходимые и в том формате, который нужен вашим инструментам мониторинга и безопасности. ● Протестировать сеть до и после использования технологии зеркалирования, чтобы сравнить и получить понимание, как способ зеркалирования влияет на кадры. ● Внедрить качественное сетевое оборудование от надежных вендоров, которое соответствует потребностям вашей ИТ-инфраструктуры. Важно, чтобы все изменения при применении технологии/устройства отражения трафика были линейными. Если смещение кадра составило 5 мс, то все кадры должны иметь одинаковое смещение в 5 мс, если же нет, то устройство вмешивается в возможности мониторинга в реальном времени.
Технология SPAN не подходит для эффективного анализа в реальном времени, ведь создает нелинейное смещение. Вместо этого TAP будет передавать каждый бит, байт и октет, включая межкадровый интервал, плохие, большие, маленькие и другие пакеты, передаваемые по сети.
Принцип работы TAP гарантирует, что весь трафик между устройствами А и B будет на 100% отзеркален, без исключений. Как только трафик попал в TAP, он сразу же отзеркаливается и может быть использован для любого вида мониторинга, внедрения безопасности или анализа. Таким образом, TAP является ключевым компонентом любой системы обеспечения видимости сети.