Network Tap « AGCIYIZ.NET

1Oca/101

Network Tap

Switched Networklerin en önemli problemlerinden biri izleme (monitoring) veya analiz amaçlı olarak ağ üzerinden akan trafiğe güvenilir erişimdir. Bunu ağ üzerinden farklı türlerde gerçekleştirmek mümkündür. En çok bilinen ve kullanılan yöntem port span yada mirroring olarak bilinen switchler üzerinde bir porttan akan trafiğin başka bir porta kopyalanmasıdır. Port mirroring işleri çok kolaylaştıran ve ek bir maliyet gerektirmeyen bir yöntem olmasına karşın bazı dezavantajları ağcılar için can sıkabilmektedir.

İlk olarak söyleyebileceğimiz monitoring yapmak istediğiniz cihaz bu özelliği (port spanning) desteklemeyebilir.

Switchler 1. ve 2. katmanda oluşan hataları span portlarına göndermemektedirler. Diğer bir deyişle eğer izlemek istediğiniz hatta hatalı frame ler söz konusu ise span portlarında bu hatalı paketleri dolayısıyla %100 trafiği görmeniz mümkün olmayacaktır.

Oldukça yüklü bir trafiği monitor etmek istediğimizde oluşan aşırı yük nedeniyle switch operasyonunda ve monitoring de paket kayıpları oluşabilir.

Full duplex iletişimde port kapasitesine yakın bir trafik söz konusu ise ve akan trafik her iki yönde (transmit and receive) izlenmek isteniyorsa trafik tam anlamıyla takip edilemeyecektir. Kısaca açıklamak gerekirse : Örneğin 100 Mbit full duplex çalışan bir portu switch üzerindeki başka bir 100Mbit lik port ile monitor etmek istiyorsak, transmit ve receive ayrı ayrı 100’er Mbit veri transferi yapacağından toplamdaki veri trafiğinin 100Mbit i aşması durumunda monitor ettiğimiz bu verinin tamamını izlememiz mümkün olamayacaktır.

Ağ trafiğinin sürekli izlenmesinin elzem olduğu durumlarda bilerek veya bilinmeyerek monitor (span) iptali bizim açımızdan bir güvenlik açığı olarak karşımıza çıkmaktadır.

Bu tip problemlerin başımızı ağrıtması söz konusu olduğu durumlarda network tap basit ama etkili bir çözüm olarak kullanılabilir. Network tap basitçe ağ üzerinden akan bilgiye erişimi sağlayan donanımsal bir cihazdır. Herhangi iki ağ cihazı arasına bağlanıp daimi ve pasif erişim sağlarlar. Çok basit olan mantığından kısaca bahsetmek gerekirse. Şekil 1 de A ve B olarak gösterilen iki ayri network cihazımız olsun.

Şekil 1

Buradaki maksadımız bu iki cihaz arasındaki trafiği dinlemek olduğuna göre ikisi arasındaki bağlanıyı network tap cihazı üzerinden geçirmeliyiz. Bir network tap in en az 3 portu olmalıdır. Şekil2 de görüldüğü gibi network tap ekipmanı izlemek istediğimiz trafiğin geçtiği iki cihaz arasına yerleştirilir.

Şekil 2

A cihazi ile B cihazı arasındaki bağlantıyı artık network tap cihazı üzerinden sağlanırken, bu iki cihaz arasından geçen trafik C cihazının bulunduğu porta da iletilecektir.

Şekil 3

Şekil 3 teki örnekte network tap cihazı yerel ağ bağlantısını sağlayan switch ile internet erişimini sağlayan router arasına yerleştirilmiştir. Bu sayede iç ağdan dışarıya giden ve dışarıdan içeriye gelen paketler herhangi bir yük getirmeden pc, ids ve benzeri bir cihaza aktarılmaktadır.

Network tap in en çok kullanıldığı alanlar; sniffing (paket capturing) gibi uygulamalar, IDS ve VoIP ses kaydıdır.

Avantajlarına kısaca değinecek olursak;

Bağlantısını sağladığımız iki cihaz arasındaki tüm hatalarda dahil olmak üzere %100 trafiği gösterir.

Intrusion detection yapıldığında davetsiz misafirlere karşı tamamen görünmez bir monitoring imkanı sağlar.

Fiziksel olarak güvenlik sağlandığı müddetçe pasif versiyon network tap in devre dışı kalması söz konusu olmayacaktır. (Aktif olanlar farklı amaçlar için enerji gerektirmektedir. Enerjinin kesilmesi durumunda ise network trafiği kesintiye uğramaksızın akmaya devam edecektir)

Network cihazlarında herhangi bir konfgürasyon gereksinimi olmadığı gibi (plug-and-play) span porttan farkli olarak sisteme hic yuk getirmeyecektir.

Çok portlu olan versiyonları kullanıldığında birden fazla cihaz monitoring amaçlı kullanılabilir. (Bu tür çok portlu olanlara regeneration tap denilmektedir)