Der Ausdruck TAP ist eine Abkürzung und steht für Test Access Port. Ein Netzwerk-TAP auch Ethernet-TAP genannt, stellt einen passiven Zugriffspunkt zu einer optischen oder kupfer-basierten Netzwerkverbindung her, womit die über das Kabel übertragenen Datensignale sicher und zuverlässig zu Analysezwecken mitgelesen und ausgewertet werden können.
Dabei werden diese TAPs in die zu überwachende Netzwerkleitung eingeschleift und leiten den gesamten Datenverkehr unter Beibehaltung der Datenintegrität, unterbrechungsfrei und ohne Paketverluste aus.
Einmal installiert, kann mithilfe eines TAPs, der gesamte Datenverkehr transparent, schnell, einfach und ohne Beeinträchtigung der aktiven Netzwerkleitung, für verschiedene Monitoring-Anwendungen bereitgestellt werden.
Im Gegensatz zum Datenabgriff über einen SPAN-Port erhalten Sie beim Einsatz eines TAPs ein sehr viel genaueres Messergebnis und können so Netzwerk- und Anwendungsfehler noch schneller und präziser identifizieren. So gewinnen Sie wertvolle Zeit beim Beheben von Netzwerkfehlern und -problemen.
Statt der aufwändigen Konfiguration von SPAN-Ports, lassen sich Netzwerk-TAPs Plug-n-Play, ohne technische Vorkenntnisse, in kürzester Zeit installieren und in Betrieb nehmen. Aus gutem Grunde rät deshalb Cisco, der weltweit führende Netzwerkausrüster, vom Einsatz solcher SPAN-Ports für die Netzwerk Analyse bewusst ab.
Netzwerk-TAPs haben aufgrund Ihrer Funktionsweise einen weiteren entscheidenden Vorteil: Sie leiten den bi-direktionalen Datenverkehr vollständig aus. Das bedeutet, Sie erhalten die Sende- und Empfangsrichtung einer Voll-Duplex Leitung separat ausgegeben und können somit z.B. eine 1G Leitung auch bei einer maximalen Auslastung von 2Gbps verlustfrei analysieren. Daraus folgt, dass Sie zum Aufzeichnen der Netzwerkdaten jeweils zwei Netzwerkschnittstellen am Analysegerät benötigen.
Anhand dieser Methode lassen sich Sende- und Empfangsrichtung bequem voneinander differenzieren, wodurch Sie eine weitere Fehlerquelle eliminieren. SPAN-Ports hingegen müssen diese Daten, bevor sie an den SPAN-Port weitergegeben werden, im Speicher aggregieren, was aber nicht zu den primären Aufgaben eines Switches gehört und dadurch die Qualität des Analyseergebnisses erheblich negativ beeinflusst.
Ferner wird aufgrund der Nutzung von Spiegel-Ports der Switch Prozessor höher ausgelastet, wodurch Datenverluste auf dem SPAN-Port auftreten können.
Was macht unsere modularen Secure Fiber-TAPs so speziell?
Secure Fiber-TAPs besitzen sowohl einen zusätzlichen optischen Isolator (Datendioden-Funktionalität), als auch einen optischen Filter die sicherstellen, daß unerwünscht einfallende Lichtsignale am Monitoring-Port blockiert werden, um das Netzwerk vor Kompromitierung zu schützen. Es bietet somit einen weiteren Security-Layer der einen erhöhten Schutz vor Angreifern und fehlerhaften Konfigurationen bietet.
Unsere optischen TAPs kommen ohne Strom aus, sie sind rein passive Komponenten und daher ohne teures Messequipment im Netzwerk nicht aufspürbar. Hacker und andere Angreifer haben somit keine Chance und da aufgrund dieser Abgriffsmethode die Integrität der ausgeleiteten Daten unverfälscht bleibt, finden Netzwerk-TAPs immer mehr Anwendung in den Bereichen Netzwerkforensik, -Security und -Monitoring.
PacketRaven Glasfaser-TAPs wurden für Rechenzentren entworfen und erlauben Ihnen unter Verwendung unseres innovativen, modularen 1HE Chassis, bis zu 30 Netzwerksegmente mit TAPs auszustatten. Sie unterstützen Netzwerkgeschwindigkeiten von 100Mbit/s bis zu 400Gbit/s. Ohne Risiko erhalten Sie permanenten Netzwerkzugriff und versorgen Ihre Monitoring- und Security-Tools mit 100% zuverlässigen Netzwerkdaten, ohne einen Single Point of Failure einzuführen.
Dadurch eignen sich unsere Secure TAPs speziell für geschäftskritische Anwendungen und Hochsicherheitsbereiche und KRITIS-Infrastrukturen mit hohen Anforderungen an die Sicherung sensibler Daten.
Sie sind 100% kompatibel mit unseren modularen Standard-TAPs ohne Datendioden-Funktion und können gemeinsam im gleichen Chassis installiert werden. Obendrein sind sie protokollagnostisch und kompatibel mit allen Monitoring-Systemen führender Anbieter.
Secure-TAPs - denn KRITIS sollte sicher sein
PacketRaven Netzwerk-TAPs gehören somit schon in der Standardausführung zu den Netzwerkkomponenten über die ein Angriffsvektor ausgeschlossen wird .
Für High-Security-Bereiche bzw. kritische Infrastrukturen (KRITIS) reicht aber selbst das zuweilen nicht aus, weswegen NEOX NETWORKS jetzt auch eine speziell abgesicherte Version seiner modularen Fiber-TAPs anbietet.
Diese Secure Modular-TAPs besitzen einen optischen Filter und einen optischen Isolator die den TAP um die Funktion einer Datendiode erweitern. Diese verhindern versehentliche oder vorsätzliche Injektionen von ungewollten Daten bzw. Lichtsignale in das aktive Netzwerk.
Durch eine sehr hohe Einfügedämpfung von bis zu 35dB auf dem Rückkanal vom Monitoring-Port in das produktive und zu schützende Netzwerk wird so ein zusätzlicher zweistufiger Security-Layer aktiviert. Die Einfügedämpfung der Singlemode-Modelle beträgt ~35 dB und für unsere Multimode-Modelle ~25 dB.
Datendioden-Funktionalität der modularen NEOXPacketRaven Secure Fiber-Netzwerk-TAPs
Zusätzlich sind diese TAPs noch gegen unerwünschtes oder unbemerktes Öffnen durch ein Sicherheitssiegel abgesichert.
Anwendungsfälle für Fiber-TAPs mit optischen Isolatoren
Vermeidung eines versehentlichen Anschlusses eines passiven TAPs an einen Ausgangs-Port des Monitoring Tools, sodass Daten zurück ins überwachte Netzwerk injiziert werden.
Fehlkonfigurationen bei Monitoring Tools vermeiden. Diese können beispielsweise bei legalen Überwachungsmaßnahmen einer Behörde
Daten zurück ins Netzwerk schicken, die unter Umständen zur Entdeckung der Überwachungsmaßnahme führen.
Unterbindung, dass Personen mit Zugang zu ungesicherten Teilen eines Rechenzentrums konventionelle Fiber-TAPs nutzen, um das Netzwerk lahmzulegen oder schadhaften Code zu injizieren.
