TAP a SPAN

Síťový TAP (testovací přístupový bod) a SPAN (zrcadlení portů) jsou dvě nejběžnější metody přístupu k síťovému provozu používané pro monitorování dat a analýzu zabezpečení. Je mezi nimi nějaký rozdíl? Ano, existují významné rozdíly, které ovlivňují integritu analyzovaného provozu i výkonnost síťových nástrojů. V našem článku se podíváme na rozdíly v obou možnostech.

Network TAP (Test Access Point)

Síťové adaptéry TAP jsou hardwarová zařízení, která jsou umístěna v síťovém segmentu mezi dvěma zařízeními (switchem, routerem nebo bránou firewall) a umožňují přístup k síťovému provozu a jeho sledování. Zařízení TAP vysílají datové toky pro příjem i odesílání současně na samostatných vyhrazených kanálech, což zajišťuje, že všechna data dorazí do monitorovacího nebo bezpečnostního zařízení v reálném čase.

 

Síťové adaptéry TAP:

      • Vytvářejí 100 % plně duplexní kopii síťového provozu bez změny dat.
      • Navrženo pro podporu 10M/100M/1G/10G/40G/100G/400G.
      • Jsou škálovatelné a mohou poskytovat buď jednu kopii, více kopií (regenerace), nebo konsolidovat provoz (agregace) pro maximalizaci produkce vašich monitorovacích nástrojů.
      • Schváleno soudy v USA. TAP poskytuje forenzně spolehlivá data/důkazy, že zachycená data jsou 100% přesná s časovou referencí.
      • Nemění časové vztahy snímků. Rozestupy a doby odezvy jsou důležité zejména u analýzy VoIP a Triple Play včetně analýzy FDX.
      • Optické TAPy jsou 100% pasivní a nemají žádné napájení.
      • Nemají žádnou IP adresu, žádnou MAC adresu a nelze je hacknout.

 

„SPAN může zvýšit režii síťového zařízení a tento port SPAN často zahodí zrcadlené pakety, pokud je zařízení příliš vytíženo.
Proto jsou TAP lepší volbou.“ 
– EMA

 

 

 

SPAN (Switch Port Analyzer)

Porty SPAN:

      • Poskytují přístup k paketům pro monitorování.
      • Určeno pro bodovou kontrolu s nízkou propustností.
      • Relace SPAN nenarušují běžný provoz přepínače.
      • Zpracování s nízkou prioritou – přepínač pakety SPAN zahodí, pokud jsou silně vytížené nebo nadměrně předplacené.
      • Může duplikovat pakety, pokud se používá více VLAN.
      • Použití portů SPAN/Mirror může změnit načasování interakce rámců, což mění dobu odezvy

 

„Switch zachází se SPAN daty s nižší prioritou než s daty do portu… nejlepší strategií je rozhodovat se na základě úrovně provozu konfigurace a v případě pochybností používat port SPAN pouze pro situace s relativně nízkou propustností.“  Cisco Networks

 

 

Proč jsou síťové porty TAP upřednostňovány před porty SPAN?

 

 

TAP vs. SPAN:

    • TAP vytvářejí přesnou kopii obousměrného síťového provozu plnou rychlostí linky, což zajišťuje plnou věrnost pro monitorování, analýzu a zabezpečení sítě.
    • Pasivní adaptéry TAP poskytují nepřetržitý přístup k provozu a po instalaci nevyžadují žádný zásah uživatele ani konfiguraci – jedná se o skutečné řešení typu „nastav a zapomeň“.
    • Porty SPAN se snadno přeplní, což vede k zahazování paketů a neuspokojivým nebo nekonzistentním výsledkům pro účely monitorování a zabezpečení.
    • Provoz SPAN má nejnižší prioritu při předávání a nemusí dosáhnout plné rychlosti linky. V některých situacích může nízká priorita způsobit vypadávání paketů i na portu SPAN pracujícím s jednociferným vytížením.
    • Aplikace SPAN může mít negativní dopad na výkon samotného switche, což někdy ovlivňuje síťový provoz.
    • Vzhledem k tomu, že provoz SPAN lze snadno překonfigurovat, může se výstup SPAN měnit ze dne na den nebo z hodiny na hodinu – výsledkem je nekonzistentní hlášení.
    • Právní předpisy nebo dodržování firemních předpisů někdy nařizují, aby byl monitorován veškerý provoz pro určitý segment. To lze zaručit pouze pomocí TAP.
    • Je známo, že nesprávně nakonfigurované porty SPAN ovlivňují výkon sítě nebo dokonce způsobují její výpadky.
    • Počet portů SPAN je omezený v porovnání s počtem portů, které mohou vyžadovat monitorování, a spotřebovávají porty, které by jinak mohly přenášet produkční provoz.
    •  TAP se nestarají o to, jaký protokol je v provozu přenášen nebo zda se jedná o protokol IPv4 nebo IPv6. Veškerý provoz prochází pasivním TAP, včetně paketů s chybami. Aktivní TAP obvykle blokují chyby, ale přeposílají vše ostatní.

Závěr je, že TAP by se měly používat všude tam, kde je vyžadována stoprocentní viditelnost a věrnost provozu. Kdykoli je objem provozu střední až vysoký, nasaďte síťové adaptéry TAP. Jako osvědčený postup se doporučuje instalovat TAP již v rané fázi návrhu sítě…

 

 

 

Kdy používat porty SPAN?

I přes velmi vysokou spolehlivost a nezpochybnitelnou výhodu TAP zařízení, existují situace, kdy není praktické je používat.

Zvažte použití portů SPAN pro následující výjimky:

    • Omezené ad hoc monitorování v místech s možnostmi SPAN, kde v současné době neexistuje síťový TAP.
    • Místa s omezeným rozpočtem, kde by poměr rozdělení TAP mohl spotřebovat příliš mnoho financí.
    • Kritická infrastruktura, kde není k dispozici okno pro údržbu, ve kterém by bylo možné instalovat TAP.
    •  Vzdálené lokality se skromným provozem, které nemohou ospravedlnit plnohodnotný TAP na lince.
    • Přístup k provozu, který buď zůstává uvnitř switche, nebo nikdy nedosáhne fyzické linky, kde lze provoz odposlouchávat.
    • Jako nízkonákladová alternativa pro řešení problémů tam, kde jsou spoje málo vytížené.
      Souhrnně lze říci, že síťové porty TAP i SPAN mohou poskytnout platný přístup k datům, pokud jsou správně umístěny.

 

TAP tedy používejte tam, kde můžete
SPAN
tam, kde musíte

Pokud vás využití TAPu pro monitoring síťového provozu zaujalo, kontaktujte nás.
Můžeme domluvit zapůjčení DEMA pro otestování a pobavit se o potenciálním nasazení.

 

 

Chcete zjistit více?
Ozvěte se nám a rádi
Vám poradíme

Pavel Čermák                     pcermak@entec.cz

Senior Systems Engineer.        420 737 266 283

420 222 745 032