Co w sieci piszczy?

Zagadnienie monitorowania ruchu wydaje się proste - włączyć sniffer. W miarę wzrostu obciążenia segmentu sieci, przechwytywanie i analiza ruchu stają się coraz trudniejsze.

W każdej sieci zdarzają się przypadki, że niezbędne staje się monitorowanie ruchu. Może to dotyczyć zdarzeń infekcji złośliwym oprogramowaniem, podejrzenia naruszenia bezpieczeństwa sieci, a także analizy związanej z jej strojeniem i wydajnością. Ponadto analiza ruchu staje się niezbędna przed podjęciem prac związanych z reorganizacją czy modernizacją sieci - czasami zamiast podwyższać przepustowość, wystarczy dokonać segmentacji sieci. W każdym przypadku zdarza się jednak, że trzeba przechwycić ruch, by dokonać analiz.

W czasach, gdy powszechnie używano hubów, ruch z każdej stacji był widoczny we wszystkich pozostałych, więc monitorowanie pakietów mogło odbywać się w dowolnym miejscu, wystarczyło podłączyć sniffer. Wadą hubów była bardzo niska wydajność sieci, zatem dzisiaj niemal wszystkie sieci korzystają z przełączników sieciowych. W tym przypadku podłączony do przełącznika analizator widzi jedynie ruch kierowany do wszystkich, a to zbyt mało, by dokonać skutecznej analizy. Aktywny sniffing (co potrafi na przykład oprogramowanie ettercap) nie nadaje się do produkcyjnego zastosowania w monitoringu wydajności lub poprawności konfiguracji sieci ze względu na to, że modyfikuje przebieg pakietów, ponadto jego skutkiem jest dość duży ruch. Jeśli celem analizy ruchu jest wykrycie nieprawidłowości, nie można ingerować w sieć, wysyłając duże ilości pakietów. Zazwyczaj administratorzy korzystają wówczas z urządzeń, takich jak tap, z opcji przekierowania ruchu na port analizujący (tzw. port span), przeglądają statystyki z przełączników i routerów, a do analizy służy laptop z odpowiednim oprogramowaniem. Niestety, używanie laptopa do monitoringu dzisiejszych sieci nie jest dobrym pomysłem.

Rura i kran

Najprostszym narzędziem do przechwytywania ruchu jest proste urządzenie o nazwie tap. Zasadą działania tapa jest przekazywanie ruchu z wejścia na wyjście bez żadnych zmian i duplikowanie go na porty analizujące. Najprostszy tap ma wejście bezpośrednio połączone z wyjściem w taki sposób, że przerwanie połączenia spowodowane awarią elektroniki jest stosunkowo mało prawdopodobne, ponadto tap nie wprowadza żadnych modyfikacji do ruchu, stając się całkowicie przezroczysty. Tap jest urządzeniem uniwersalnym, które można włączyć wszędzie, przy czym z poziomu klienta czy serwera w sieci nie ma możliwości stwierdzenia, czy w danym segmencie on pracuje (w odróżnieniu od niektórych IPS-ów, które można wykryć, wysyłając specjalnie przygotowane pakiety). Tap występuje w wersjach dla sieci miedzianej Ethernet (10/100/1000) oraz światłowodowej. Pasywny tap światłowodowy wprowadza pewne tłumienie, które można wykryć, mierząc tłumienie toru kablowego.

Przekierowanie ruchu na port analizujący

Niemal wszystkie dzisiejsze przełączniki sieciowe wyższej klasy (z wyjątkiem tych najtańszych i najprostszych) mają opcję przekierowania ruchu z wybranego portu na port analizujący (tak zwany SPAN, do której w przełącznikach Cisco służy opcja port monitor). W ten sposób można przekierować ruch przychodzący (ingress) i wychodzący (egress), można także wprowadzić odpowiednie reguły filtrowania, na przykład monitorować tylko ruch z konkretnego VLAN-u albo odpowiednio go tagować. Do portu analizującego podłącza się wtedy sniffer.


TOP 200