Network tap

Термин сетевой тап аналогичен выражению «прослушка телефона» или «вампирский тап». Некоторые производители расшифровывают TAP как англ. test access point («точка тестового доступа») или terminal access point; однако это бакронимы.

Контролируемый трафик иногда называют проходящим, а порты, используемые для мониторинга, — мониторными. Для полного дуплекса также может предусматриваться агрегирующий порт, в котором трафик A и B суммируется в один поток с помощью алгоритма синхронизации по времени поступления пакетов.

Производители используют в маркетинге термины breakout (разделение), passive (пассивный), aggregating (агрегирующий), regeneration (регенерирующий), bypass (байпас), active (активный), inline power (питание по линии) и др. К сожалению, их использование зачастую неконсистентно. Перед покупкой оборудования важно изучить техническую документацию, чтобы понять истинное назначение реализованных функций. Все эти термины имеют реальное значение и важны для выбора подходящего устройства.

Распределённый тап — это набор сетевых тапов, которые подключены к централизованной системе мониторинга или анализатору пакетов.

Существует несколько способов мониторинга сетевого трафика. Конкретный метод выбора зависит от типа сети, задач мониторинга, доступных ресурсов и размера целевой сети.

Этот метод основан на использовании программных средств без изменения или с минимальным изменением аппаратуры. Обычно это самый недорогой способ, однако для полного охвата сети требуется применять несколько подобных решений одновременно.

Простейший вариант — войти на интересующее устройство и использовать встроенные программы, выводящие статистику производительности и другую информацию. Для малых сетей это минимальный по затратам способ, но он плохо масштабируется и может влиять на мониторимую систему (см. эффект наблюдателя).

Другой подход состоит в использовании протокола удалённого управления, такого как SNMP, для запроса производительности устройств. Этот метод масштабируется, но подходит не для всех задач. Проблемой SNMP является эффект опроса: передача дополнительных данных по сети и дополнительная нагрузка на устройство. Хотя многие производители реализуют интеллектуальное расписание опроса, это всё равно может влиять на производительность и открывать новые потенциальные уязвимости в безопасности.

Ещё один способ — использовать зеркалирование портов (у Cisco — SPAN: Switched Port Analyzer^[1], а у Brocade и других — MLXe telemetry и др.; также называется MIRROR-порт) или использовать специализированный мониторинговый протокол, например TZSP, на маршрутизаторах и коммутаторах. Это недорогая альтернатива сетевым тапам и может решать многие похожие задачи. Однако не все устройства поддерживают зеркалирование, а при его использовании оно может отрицательно сказываться на производительности маршрутизатора или коммутатора. Кроме того, методы программного зеркалирования уязвимы к описанным выше проблемам с полным дуплексом, а количество одновременных мониторинговых сессий или портов может быть существенно ограничено (часто не более двух).

Когда порт SPAN перегружен, пакеты могут отбрасываться до того, как попадут на устройство мониторинга. Также есть вероятность потери ошибочных пакетов, что может затруднить поиск и устранение проблем.

Этот приём основывается на включении промискуитетного режима на устройстве мониторинга и подключении его к концентратору. Метод эффективен на старых ЛВС (например, 10BASE2, FDDI, Token Ring), где любой хост может видеть трафик всех других. Для современных коммутируемых сетей с соединениями точка-точка этот метод не работает.

Этот способ основывается на использовании отдельных аппаратных устройств.

Метод заключается во встраивании устройства между сегментом линии и конечным устройством. Если устройство мониторинга установлено «в разрыв» линии, сеть перестаёт работать каждый раз, когда устройство выходит из строя или перезагружается. При некорректной интеграции такие механизмы могут приводить к остановке передачи данных для «жертвы», когда тап-устройство перегружается или обновляется.

Некоторые тапы, особенно оптоволоконные, осуществляют проходящий и мониторный потоки полностью пассивно, без электроники и внешнего питания: световой сигнал делится простым физическим элементом на два выхода — проходящий и мониторный. Такие устройства называют пассивными тапами. В других случаях питание и электроника могут использоваться только для мониторного порта, при этом проходящий поток формируется без них; такие устройства обычно также классифицируют как пассивные.

V-Line tapping (или байпас-тэппинг) — наиболее важный способ аппаратного снятия трафика. Система V-Line Tap позволяет встраивать обслуживаемое устройство виртуально «в линию»; размещение подобного прибора прямо в линии может повлиять на целостность критической сети. Однако, если между линией и устройством мониторинга подключен тап, он обеспечивает непрерывную передачу трафика, не создавая дополнительных точек отказа^[2]. Такой подход позволяет передавать абсолютно все пакеты, включая ошибочные (которые могут отбрасываться портом SPAN), на устройство мониторинга. Данный метод может подразумевать также использование шпионского ПО на целевой машине. Для администратора это самый простой и экономичный способ реализации, однако для злоумышленника — очень опасный, поскольку подобные программы легко обнаруживаются штатными средствами сканирования системы. Если шпионское ПО было установлено нестандартным (непостоянным) образом на системе Live OS, то после перезагрузки тап будет деинсталирован.

Современные сетевые технологии часто поддерживают полный дуплекс, т. е. передача данных возможна одновременно в обоих направлениях. Если канал позволяет 100 Мбит/с в каждом направлении, то итоговая пропускная способность составляет 200 Мбит/с. Это создаёт сложности для мониторинговых устройств с одним мониторным портом — поэтому тапы для дуплексных каналов обычно имеют два мониторных порта, по одному на каждое направление. Анализатор должен использовать агрегацию каналов для объединения трафика в один поток. Другие технологии мониторинга, такие как пассивные оптоволоконные тапы, с дуплексным трафиком справляются хуже.

После установки тапа сеть можно мониторить без вмешательства в её работу. Прочие решения требуют внесения изменений в сетевые устройства, что способно снизить их производительность (например, при работе NGFW, систем предотвращения вторжений, Web Application Firewall и др.).

Во многих тапах предусмотрено несколько пар выходных портов, что позволяет нескольким устройствам отслеживать один и тот же сегмент. Такие устройства называют регенерирующими тапами.

Некоторые тапы функционируют на физическом уровне модели OSI, независимо от уровня канального протокола (например, работают непосредственно с многомодовым оптоволокном вне зависимости от протокола передачи данных). Простые оптические сплиттеры (пассивные тапы) имеют это свойство.

Часть сетевых тапов обеспечивают дублирование трафика для мониторинга и сервисы SNMP. Крупнейшие производители предлагают приборы с удалённым администрированием по Telnet, HTTP или SNMP, что удобно для отслеживания состояния линии или получения сигналов о нештатных ситуациях.

Есть тапы, получающие питание полностью или частично по самой линии передачи данных (inline power).

Некоторые тапы способны воспроизводить низкоуровневые сетевые ошибки — короткие кадры, повреждённую контрольную сумму (CRC), нарушенные данные.

Преимущества аппаратного тапа по сравнению с зеркалированием портов (SPAN):

• Пассивация; отказоустойчивость
• Не требует настройки («нулевая конфигурация»)
• Безопасность
• Точное дублирование сетевого трафика
• Отсутствие задержек и искажений временных параметров передачи
• Передача как корректных кадров/пакетов, так и ошибочных (ошибки видны)
• Нет проблемы с перегрузкой мониторного порта

Недостаток — необходимость дополнительного аппаратного обеспечения, что делает тапы дороже использования встроенных возможностей сетевых устройств. Однако тапы проще в управлении и зачастую предоставляют больше информации.

Для мониторинга дуплексных линий может понадобиться агрегация каналов на стороне анализатора — производители называют такую функцию aggregation.

Установка тапа обычно сопровождается коротким перерывом в работе сети^[3]. Тем не менее, эта кратковременная приостановка предпочтительна многократным перезагрузкам при установке других приборов. Рекомендуется тщательно планировать размещение тапов в топологии сети.

Мониторинг крупных сетей через аппаратные тапы может требовать большого числа анализаторов. В топовых устройствах можно назначать любой порт как mirror-порт — программный тап. Но для этого необходима настройка, и увеличивается нагрузка на само сетевое оборудование.

Даже полностью пассивные тапы вводят новые точки отказа в сеть. Возможны сбои разного рода — поэтому к проектированию инфраструктуры стоит подходить с осторожностью и использовать, где возможно, безэлектронные (оптические) решения. Для среды медной витой пары (Type G703 2 Мбит/с, 10BASE-T, 100BASE-TX) и оптоволокна полностью пассивные тапы осуществимы, а вот для 1000BASE-T и 10GBASE-T — не применимы.

Среди мер противодействия подключению сетевых тапов — шифрование и внедрение сигнализаций. Шифрование делает похищенные данные нечитаемыми для злоумышленника, однако может обходиться дорого и ухудшать пропускную способность.

Ещё одна мера — установка оптоволоконных сенсоров в существующие кабельные трассы; любые попытки физического доступа регистрируются и передаются в систему сигнализации. Несколько производителей выпускают сенсоры, отслеживающие физические нарушения по изменению оптического сигнала: когда неизмененный световой поток меняет своё распределение из-за вибраций кабеля (интерференция мод).

В государственных и военных сетях США угрозу подключения тапов рассматривают давно. Для защиты особо важной информации используются стандарты PDS (англ. Protected Distribution Systems), в которых все трассы между контролируемыми зонами оборудуются защитой от несанкционированного доступа (см. NSTISSI 7003, SIPRNET, NSI). Жёсткие требования описаны в документах по безопасности: все незащищённые линии должны быть зафиксированы в системе обороны и мониторинга.

В 1000BASE-T каждый из четырёх проводов передаёт данные одновременно в оба направления. Соответствующие микросхемы PHY на концах линии должны разделять сигналы, вычитая собственный передаваемый сигнал из полученного смешанного сигнала — и только тогда интерпретируется информация от оппонента по линии.

Простое подключение к средине кабеля ни к чему не приведёт — там содержится лишь сложная модуляция двух потоков. Для успешного «снятия» трафика необходимо использовать отдельную микросхему PHY. Такой подход не является более пассивным: в случае сбоя линк теряет соединение, сервисы останавливаются. Чтобы минимизировать последствия, в медных тапаах обычно есть байпасное (релейное) переключение в аварийной ситуации, позволяющее восстановить соединение. Однако процесс повторного установления соединения займёт, как минимум, три секунды из-за особенностей автосогласования (описано в IEEE 802.3, параграфы 28 и 40), что может быть критично для ряда сервисов.

1. В ряде случаев, после падения соединения его нельзя восстановить без полной перезагрузки.
2. Может произойти перераспределение маршрутизации в сети.
3. Сервис реального времени может потерять поток данных.
4. Через медный тап не проходит часть служебной информации уровня 1 OSI (например, pause-кадры).
5. Сбивается синхронизация тактирования; стандартный Gbit TAP не поддерживает Sync-E и влияет на работу IEEE 1588 (вводится доп. задержка).