Обираємо між TAP і SPAN? Особливості застосування, переваги та недоліки
Читайте в статті:
● Що таке SPAN-порт? ● SPAN: особливості застосування, переваги та недоліки - Випадки використання технології SPAN - Недоліки технології ● Що таке TAP (Test Access Point)? ● TAP: особливості застосування, переваги та недоліки - Випадки використання технології TAP - Недоліки технології - Які різновиди TAP бувають? ● TAP vs. SPAN: що обрати?
Організація безпеки та продуктивності у великих мережах може бути складним завданням. Збільшення частоти використання хмарних сервісів, IoT-пристроїв, SDN та NFV ускладнює надання повного і точного уявлення про мережевий трафік інструментами візуалізації. Разом з цим, використання зашифрованого трафіку та наявність несанкціонованих пристроїв можуть ускладнити виявлення потенційних загроз для безпеки та реагування на них і спричинити проблеми з продуктивністю.
Тому належний рівень безпеки та продуктивності може існувати лише за умови повної Network Visibility (видимість мережі або мережева видимість), тобто рівня знань компанії про дані та компоненти корпоративної мережі. За поняттям Network Visibility найчастіше стоїть процес видалення сліпих зон, які не дозволяють повністю бачити та оцінювати стан мережі й додатків. Про видимість мережі, її досягання та вимоги до неї ми писали у попередній статті. А зараз поговоримо детальніше про способи збору мережевого трафіку та його перенаправлення в необхідні системи за допомогою TAP і SPAN-портів — дамо визначення і порівняємо їхні характеристики, щоб ви могли обрати найбільш відповідне рішення для вашої організації.
Що таке SPAN-порт?
SPAN (Switched Port Analyzer) або дзеркальний порт — це функція мережевих комутаторів або маршрутизаторів, яка дозволяє копіювати й надсилати копію мережевого трафіку з одного або декількох портів-джерел на порт призначення. Тобто вона створює копію обраних пакетів, які проходять через пристрій, і відправляє їх на вказаний SPAN-порт. Використовуючи програмне забезпечення, адміністратор може налаштувати або змінити дані, які потрібно моніторити.
З появою SPAN-портів зникла необхідність під'єднання засобів моніторингу безпосередньо до мережі. Наявність SPAN на комутаторі зазвичай вказує на можливість віддзеркалення трафіку з будь-якого або всіх портів в один невикористаний порт, але водночас забороняє двонаправлений трафік на цьому порті для захисту від зворотного потоку трафіку в мережу. Технологію SPAN спочатку розробляли як тестову точку забезпечення і контролю якості (налагодження) пристроїв для самих виробників мережевого обладнання, а точкою доступу до "дзеркала" трафіку реалізували пізніше.
Ось як це працює:
1. Ви обираєте один або декілька мережевих портів-джерел, з яких хочете перехопити або віддзеркалити трафік, залежно від ваших потреб у моніторингу. Порти-джерела зазвичай підключаються до пристроїв, таких як сервери, маршрутизатори або інші мережеві пристрої, трафік яких ви хочете відстежувати. 2. Віддзеркалений трафік надсилається на порт призначення. Інструменти мережевого моніторингу або аналізатори підключаються до порту призначення для перехоплення та аналізу скопійованого мережевого трафіку.
3. Комутатор копіює трафік з портів-джерел і перенаправляє його на порт призначення. Це дозволяє інструментам моніторингу перехоплювати й аналізувати мережеві пакети, не впливаючи на потік трафіку на вихідних портах.
SPAN: особливості застосування, переваги та недоліки
Щоб зрозуміти як і для чого використовувати SPAN, варто відповісти на такі запитання:
● Це пасивна технологія? — Ні, оскільки SPAN-порти можуть помітно впливати на пакети даних та їх синхронізацію. ● Чи можна її масштабувати? — Ні, оскільки це вбудована функція. Максимальна пропускна здатність перевищує базову вдвічі, тому жоден комутатор або маршрутизатор не впорається зі 100% віддзеркаленням даних паралельно зі своїми основними завданнями.
Випадки використання технології SPAN
Рішення для моніторингу можуть успішно використовувати SPAN для віддзеркалення трафіку, якщо вони працюють з такими подіями як “аналіз діалогу або з’єднання”, “потоки додатків”, які використовують невелику частину смуги пропускання комутатора. Тобто це ті випадки, коли втрата пакетів і часові зсуви не вплинуть суттєво на якість звітів і статистики моніторингу, оскільки не потрібен кожен кадр.
SPAN може використовуватися:
● На віддалених майданчиках, де постійне розгортання засобів моніторингу та аналізу не виправдане, і можна організувати тимчасове рішення для усунення несправностей. ● На ділянках мережі з обмеженим оптичним бюджетом, де коефіцієнт розділення TAP може вносити неприпустимі затухання. ● Коли немає вікна технічного обслуговування, в якому можна було б встановити TAP, що полегшує дії під час аварійних ситуацій на підприємствах. ● Якщо необхідний доступ до трафіку у випадках, коли він знаходиться поза межами комутатора або немає можливості встановити фізичне з’єднання, до якого був би під’єднаний TAP.
Недоліки технології
● Дублювання даних трафіку. Оскільки SPAN-порти роблять дублікати пакетів даних, це негативно впливає на ефективність інструментів моніторингу. ● Втрата пакетів. У випадках перенавантаження портів, перепідписання або наявності помилок на портах, пакети даних відкидаються. Разом з цим утворюється сліпа точка (відсутня видимість користувацького трафіку), яка перешкоджає виявленню серйозних помилок в роботі мережі, а також можливого вірусного трафіку або дій зловмисників. ● Обмежена сумісність з комутаторами. Не всі мережеві комутатори підтримують віддзеркалення портів. Якщо ваш комутатор не має цієї функції, ви не зможете використовувати його для моніторингу мережі. ● Ресурсозатратність. Оскільки порти SPAN копіюють весь трафік з портів-джерел на порт призначення, важливо використовувати їх розумно, щоб уникнути перевантаження інструментів моніторингу або порту призначення надлишковими даними. ● Додаткові витрати. Організації можуть стикатися з додатковими витратами, коли виникає потреба у збільшенні CPU та пам’яті через наростаюче навантаження на switch. Тому OPEX на підтримку SPAN-портів можуть бути високими. ● Знижена відмовостійкість SPAN-доступу. Комутатор обробляє дані SPAN з нижчим пріоритетом, ніж звичайні дані від порту до порту. Тобто, якщо будь-який комутатор/маршрутизатор під навантаженням повинен вибирати між передачею звичайного трафіку і SPAN-трафіку, SPAN в аутсайдерах, а дзеркальні кадри будуть довільно відкидатися. Тому SPAN-доступ не є відмовостійким і може бути основною точкою збою або відмови для ваших систем моніторингу, управління та інформаційної безпеки. ● Утворення сліпих зон. Оскільки SPAN-порти програмують через командний рядок, якщо вони неправильно налаштовані, це призведе до утворення сліпих зон для моніторингу та збоїв. ● Проблеми з compliance. В деяких країнах SPAN не відповідає вимогам законодавства щодо перехоплення даних. ● Тунельований трафік. SPAN не вміє працювати з прихованим трафіком, який передається через загальнодоступну мережу.
Інакше кажучи, SPAN-порт — це корисна технологія, якщо її використовують правильно, у добре керованій мережі та за перевіреною методологією. Проте, за певних умов, вона має багато недоліків.
Що таке TAP (Test Access Point)?
Відгалужувач мережевого трафіку, або просто TAP (Test Access Point) — це апаратний пристрій, який напряму підключають в кабельну інфраструктуру мережі між двома мережевими пристроями, щоб всі дані проходили через нього. Це потрібно для перехоплення, дублювання, а потім передачі трафіку різним системам моніторингу та аналізу. Наприклад, NPM, DLP, SIEM і т. д.
Більшість TAP окремо копіюють потоки передачі пристроїв, відправляючи їх в окремі порти моніторингу. Найпростіший TAP складається з двох мережевих портів A і B, а також двох моніторинг-портів A і B. Ось як це працює:
Схема підключення TAP “в розрив” / “in-line”
Схема потоку трафіка, який проходить через TAP
TAP: особливості застосування, переваги та недоліки
TAP мають багато переваг, які допомагають впоратися з недоліками SPAN, наприклад: ● Передусім — це окреме фізичне або віртуальне обладнання, яке не обмежує вас кількістю портів на комутаторі. ● Вони не потребують додаткових налаштувань після установки. ● TAP не скидає пакети даних під час високих навантажень, навіть якщо вони пошкоджені або некоректні — саме це дозволяє забезпечити повну network visibility і побачити всі проблемні ділянки, вразливості мережі тощо. ● Він не вносить зміни в копію трафіку. ● TAP не є об’єктом атак зловмисників, на відміну від комутаторів. ● Він може використовуватися як bypass-рішення для сторонніх систем, які підключаються “в розрив”.
Рисунок. Потоки трафіку в мережевому TAP
Випадки використання технології TAP
TAP створюють 100% копію двонаправленого трафіку. Це забезпечує більшу точність моніторингу, оскільки не втрачаються пакети даних, не змінюється часове співвідношення між кадрами, інтервалом і часом відгуку. Також TAP не призводить до спотворення або джитеру даних, що особливо важливо для аналізу аудіо та відео.
Недоліки технології
TAP має багато переваг над SPAN-портами, але все ж є винятки: ● Ціна. Оскільки TAP — це окремий фізичний або віртуальний пристрій, його ціну доведеться додати до іншого мережевого обладнання. ● Можливі ускладнення під час масштабування. Фізичні тапи займають простір, а в деяких випадках доступу до кабельної інфраструктури взагалі немає, тому додати пристрої після налаштування мережі може бути неможливо. У таких випадках ви можете розглянути віртуальні аналоги.
Які різновиди TAP бувають?
Network TAP — мережевий або Breakout TAP — найбільш розповсюджений тип. Ці тапи направляють східний і західний трафік в окремі порти моніторингу, що гарантує збереження всіх пакетів.
Aggregation TAP — дозволяє приймати східний і західний трафік з декількох портів, об'єднувати його і виводити в один порт моніторингу, що дозволяє оптимізувати використання портів у пакетних брокерах (NPB) або інструментах моніторингу.
Рисунок. Принцип роботи Aggregation TAP
Regeneration TAP — дозволяє приймати однонаправлений трафік з одного сегменту мережі й відправляти його декільком інструментам моніторингу. Це своєю чергою дозволяє обійти обмеження кількості доступних SPAN-портів, наприклад, коли в комутаторі доступний лише один порт, а підключити потрібно декілька аналітичних платформ.
Рисунок. Принцип роботи Regeneration TAP
Bypass TAPs — дозволяє виконувати підключення активного мережевого інструменту або рішення безпеки на критичних мережевих з’єднаннях “в розрив” (bypass). Це зменшує ризик порушення цілісності мережі. Так ви можете гарантувати, що з’єднання буде продовжувати працювати і не стане точкою відмови.
Рисунок. Штатний режим роботи Bypass TAP
Virtual TAPs — це програмний або віртуалізований аналог фізичного TAP, реалізований у вигляді програмного забезпечення або віртуальної машини(VM). Вони часто використовуються у хмарних середовищах, де традиційні фізичні TAP непрактичні або неможливі для розгортання. Віртуальні TAP перехоплюють мережевий трафік, що проходить через мережевий інтерфейс, і відправляють копію цього трафіку на інструмент моніторингу або аналітичну платформу. Багато рішень для віртуальних TAP дозволяють перехоплювати й фільтрувати певні типи мережевого трафіку, щоб зосередитися на релевантних даних, подібно до фізичних точок доступу.
Деякі віртуальні тапи не тільки роблять пасивне відгалуження, але й виступають мережевими пакетними брокерами.
Віртуальні точки доступу стають все більш популярними в міру того, як організації переходять на віртуальні і хмарні інфраструктури, дозволяючи їм підтримувати видимість мережі в цих динамічних середовищах.
CGS Tower TAPs (Test Access Point) — високоякісні пасивні відгалужувачі, які працюють на широкому діапазоні швидкостей та спліт-коефіцієнтів. Вони забезпечують повну копію мережевого трафіку, значно розширюючи можливості в галузі безпеки, моніторингу та запису даних. Окрім пасивного відгалуження, віртуальні CGS Tower TAPs також можуть обробляти та готувати трафік для передачі, а отже вони виконують функції пакетного брокера й не перенавантажують систему абсолютно всім трафіком.
TAP vs. SPAN: що обрати?
Перш ніж розгортати технологію доступу до трафіку необхідно: ● Протестувати кілька технологій віддзеркалення, щоб переконатися, що ви отримуєте ті дані, які справді потрібні й у тому форматі, який потрібен вашим інструментам моніторингу та безпеки. ● Протестувати мережу до і після використання технології віддзеркалення, щоб порівняти й отримати розуміння, як спосіб віддзеркалення впливає на кадри. ● Впровадити якісне мережеве обладнання від надійних вендорів, яке відповідає потребам вашої ІТ-інфраструктури.
Важливо, щоб усі зміни під час застосування технології/пристрою віддзеркалення трафіку були лінійними. Якщо зміщення кадру становило 5 мс, то всі кадри повинні мати однаковий зсув у 5 мс, якщо ж ні, то пристрій втручається в можливості моніторингу в реальному часі. Технологія SPAN не підходить для ефективного аналізу в реальному часі, адже створює нелінійне зміщення. Натомість TAP передаватиме кожен біт, байт і октет, включно з міжкадровим інтервалом, поганими, великими, маленькими та іншими пакетами, що передаються мережею. Принцип роботи TAP гарантує, що весь трафік між пристроями А і B буде на 100% віддзеркалений, без виключень. Щойно трафік потрапив у TAP, він одразу ж віддзеркалюється і може бути використаний для будь-якого виду моніторингу, впровадження безпеки або аналізу. Отже, TAP є ключовим компонентом будь-якої системи забезпечення видимості мережі.