Geschrieben von Timur Özcan - Erstellt: 29. Januar 2014


Netzwerkanalyse ist heute wichtiger und zugleich kritischer denn je und Unternehmen benötigen entsprechende Netzwerkdaten aus vielerlei Gründen. Meist geht es dabei um Sicherheitsaspekte, die Erfüllung von Compliance Richtlinien oder auch das Netzwerk Monitoring, um Verfügbarkeit und Performance von Applikationen zu messen.

Doch woher kommen die für die Analyse benötigten Daten, sind sie überhaupt zuverlässig und wer garantiert mir die Unversehrtheit dieser Informationen? Wie kann ich einen Angriff auf meine Geschäftsapplikation oder auch Missstände in meinem Netzwerk erkennen, wenn ich keine verlässlichen Informationen darüber erhalte?

Die sicherste Methode, um ein Netzwerk zu analysieren, ist das Wegschreiben des gesamten Dateninhalts der Netzwerkpakete, dabei sprechen wir von Paket Capturing. Bei dieser Technik werden sämtliche relevante Daten zur Analyse herangezogen und von entsprechenden Tools ausgewertet. Für die Anwendung dieser Methode gibt es zwei unterschiedliche Möglichkeiten: Entweder können die Daten von managebaren Switches über SPAN Ports kopiert und anschließend ausgeleitet werden oder Sie greifen die Daten mittels Netzwerk Taps direkt aus der Leitung ab. In der Praxis hat sich die zweite Option mit Netzwerk Taps als die bessere und zuverlässigere Methode herausgestellt.

Im Folgenden möchten wir Ihnen einige Nachteile der SPAN Technik aufzeigen. Dabei erfahren Sie, weshalb SPAN Ports für eine zuverlässige und transparente Analyse ungeeignet sind.

 

  •   Ein Netzwerk Switch bearbeitet nur gültige Frames gemäß IEEE 802.3. Was aber, wenn das Datenpaket kleiner als 64 Byte ist? In diesem Fall würde der Switch diese Daten verwerfen und somit dem Monitoring Tool kritische Informationen vorenthalten, was ein stark verfälschtes Netzwerkanalyse Ergebnis bedeutet.
  •   SPAN Ports sind nicht in der Lage, VLAN Information (Tags) zu kopieren, was eine Fehlersuche und die Paketzuordnung auf dem Analysegerät erschwert!
  •   Ist ein Netzwerk Switch durch den regulären Netzwerkverkehr stark ausgelastet, kann es aufgrund der niedrigeren Priorität des SPAN Ports zu Paketverlusten kommen. Ein Angreifer könnte diesen Schwachpunkt gezielt ausnutzen, den Switch mit entsprechenden Methoden penetrieren und dabei eine Analyse durch den SPAN Port unterbinden.
  •   Die Paketreihenfolge einer Verbindung kann nicht sichergestellt werden, wodurch es bei der Auswertung zu "out of order" Fehlern kommen kann. Hierbei handelt es sich um ein Leistungsproblem, bei dem der Switch die Reihenfolge der Verbindungsdaten durcheinander bringt, also z.B. ein SYN ACK vor dem SYN Paket an den Analyzer schickt und somit keine zuverlässige Analyse ermöglicht.
  •   Defekte Netzwerkpakete sowie Daten mit einer fehlerhaften Prüfsumme CRC werden von SPAN Ports ebenfalls nicht ausgeleitet! Für eine Netzwerkanalyse nicht hinnehmbar!
  •   Ein Netzwerk Switch ist ein aktives Gerät und deshalb für alle im Netzwerk angeschlossenen Geräte sichtbar. Ein Angreifer (Hacker) könnte also mögliche Schwachstellen des Switches ausnutzen, diese zentrale Komponente zu einer Fehlfunktion zwingen und so die Netzwerkanalyse gefährden! Risiko Datenverlust!
  •   Jedes aktive Gerät im Netzwerk, somit auch Switches, verändern das "frame timing", wodurch die absolute Zeit des Datenpaketes manipuliert wird. Durch die Verwendung eines SPAN Ports auf einem Netzwerk Switch werden die zu kopierenden Netzwerkdaten zuerst in den Arbeitsspeicher geladen, wodurch es zu einer Verfälschung der Zeitreferenz dieser zu kopierenden Frames kommt. Dies macht eine Analyse mit präziser Zeitberechnung nahezu unmöglich.
  •   Wenn es zu einer Zeitverschiebung aus oben genannten Gründen kommt, sollte dabei zumindest gewährleistet sein, dass alle Pakete dieselbe Verzögerung (Latenz), also einen gleichbleibenden Offset, haben. Dies kann jedoch von Mirror Ports nicht sichergestellt werden, da Switches den Mirror Ports die niedrigste Priorität einräumen und die Datenpakete, je nach Auslastung, zeitlich verzögert bearbeiten. Weil dabei auch die Paket Reihenfolge durcheinander geraten kann, besteht die Gefahr schwerwiegender Fehler auf der Analyseseite bei einem höher ausgelasteten Switch.
  •   Jedes im Netzwerk befindliche Gerät kann ein Netzwerk Frame inhaltlich verändern und muss dies auch tun, da ansonsten eine Kommunikation bzw. ein Informationsaustausch zwischen Netzwerk Komponenten nicht stattfinden kann. So werden MAC Adressen auf Layer 2 Ebene von Routern verändert und IP-Adressen beispielsweise von Security Geräten wie Firewalls. In manchen Situationen werden Netzwerkdaten sogar während der Übertragung von Netzwerk Geräten durch zusätzliche Frames eingekapselt, verschlüsselt oder auch komprimiert. Unter Umständen kann ein SPAN Port solche Daten nicht zuverlässig kopieren bzw. ausleiten!
  •   Die Nutzung eines SPAN Ports erhöht die CPU Auslastung eines Switches und kann dadurch die Netzwerk Performance beeinträchtigen.
  •   Eine weitere Einschränkung ist die Limitierung der Bandbreite, denn ein SPAN Port kann maximal so viel Datenverkehr ausleiten wie es die physikalische Schnittstelle ermöglicht. Alles darüber hinaus wird verworfen und vom Switch nicht gepuffert!



Des Weiteren ist eine voll-duplex Analyse mit einem SPAN Port nicht realisierbar, da die zu kopierenden Daten stets zusammengeführt (aggregiert) werden.


Ein transparentes Netzwerk Monitoring durch die Nutzung von Spiegelports ist aufgrund der oben genannten Punkte nicht gewährleistet! Hinzu kommt, dass Sie den Ort des Messpunktes im Netzwerk nicht selbst bestimmen können. Manche Situationen erfordern jedoch die Messung/Analyse an anderen Stellen, um ein akkurateres Ergebnis zu erreichen. Auch kann es passieren, dass Sie keinen SPAN Port einrichten können, da die möglichen SPAN Sessions bereits für andere Zwecke benutzt werden.

SPAN Ports haben durchaus Ihre Berechtigung und werden in der Praxis gerne sporadisch für Troubleshooting Zwecke eingesetzt. Daran gibt es auch nichts auszusetzen. Zielsetzung dieses Artikels ist es, Ihnen die technischen Einschränkungen und Risiken der SPAN Methode aufzuzeigen und wir hoffen, dass uns dies gelungen ist.

Es gibt wesentlich bessere Alternativen und zuverlässigere Methoden, um Netzwerkdaten zu analysieren. Diese werden wir Ihnen in unserem nächsten Beitrag in Kürze vorstellen.

Teilen Sie uns Ihre Meinung mit!

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!

NEOX - Standort

Unsere Partner

IT Security made in Germany TeleTrusT Quality Seal


Kontakt zu uns!

NEOX NETWORKS GmbH
Otto-Hahn Strasse 8
63225 Langen / Frankfurt am Main
Tel: +49 6103 37 215 910
Fax: +49 6103 37 215 919
Email: info@neox-networks.com
Web: http://www.neox-networks.com
Anfahrt >>