WOFÜR BRAUCHE ICH NETZWERK-TAPS?
Was sind Netzwerk-TAPs und
welchen Vorteil haben sie gegenüber SPAN-Ports?
Der Ausdruck TAP ist eine Abkürzung und steht für Test Access Port. Ein Netzwerk-TAP auch Ethernet TAP genannt, stellt einen passiven Zugriffspunkt zu einer Netzwerkverbindung her, womit die über das Kabel übertragenen Datensignale zu Analysezwecken mitgelesen und ausgewertet werden können.
Einmal installiert, kann mithilfe eines TAPs, der gesamte Datenverkehr transparent, schnell, einfach und ohne Beeinträchtigung der aktiven Netzwerkleitung, für verschiedene Monitoring-Anwendungen bereitgestellt werden. Ein Netzwerk-TAP arbeitet auf dem OSI Layer 1 und besitzt keine MAC Adresse. Daher ist es im Netzwerk unsichtbar und kann auch von keinem Angreifer erkannt werden. Dies ist gerade in der Netzwerkforensik und im Sicherheitsbereich unabdingbar, da ansonsten Kriminelle auf das Vorhandensein des TAPs Rücksicht nehmen könnten.
Die Nutzung von TAPs hat einen weiteren Vorteil: Sie bestimmen selbst, wo Sie die Daten abgreifen möchten. Diese Flexibilität ist von großem Nutzen, da Sie so in der Lage sind die Qualität Ihrer Messergebnisse stark beeinflussen und verbessern zu können.
Netzwerk-TAPs sind passive Komponenten und beeinflussen den originären Datenverkehr in keinster Weise. Durch die zusätzliche “Fail-Open” Technologie bei den Ethernet Kupfer-TAPs wird die Datenleitung auch im Falle einer Stromunterbrechung durchgeschaltet, der Netzwerk-TAP arbeitet wie eine Kabelbrücke und schützt dabei Ihr Produktiv-Netz vor einem Ausfall. Somit erhalten Sie akkurate Daten zur fehlerfreien Analyse direkt aus der Leitung.
Durch die Nutzung von SPAN-Ports hingegen kann das Ergebnis verfälscht werden, da diese Technik im Store-and-Forward Modus arbeitet und FCS/CRC Fehler auf OSI Layer 2 Ebene verwirft, statt sie auf dem Spiegel-Port auszugeben. Im Gegensatz dazu leiten Ethernet-Taps diese kritischen CRC Fehler ohne Beeinträchtigung der originalen Daten aus. Ferner arbeitet ein Netzwerk-TAP mit Kupfer- oder SFP-Monitoring-Port wie eine Diode und lässt aus Sicherheitsgründen einen Zugriff über die Monitoring-Ports auf das Netzwerk nicht zu. Eine professionelle Netzwerkanalyse ist daher nur durch den Einsatz von TAPs gewährleistet.
Darüber hinaus bekommen Sie beim Einsatz mehrerer TAPs ein sehr viel genaueres Messergebnis und können so Netzwerk- und Anwendungsfehler noch schneller und präziser identifizieren. So gewinnen Sie wertvolle Zeit beim Beheben von Netzwerkfehlern und -problemen. Statt der aufwändigen Konfiguration von SPAN-Ports, lassen sich Netzwerk-TAPs Plug-n-Play, ohne technische Vorkenntnisse, in kürzester Zeit installieren und in Betrieb nehmen. Aus gutem Grunde rät deshalb Cisco, der weltweit führende Netzwerkausrüster, vom Einsatz solcher SPAN-Ports für die Netzwerk Analyse bewusst ab.
Netzwerk-TAPs haben aufgrund Ihrer Funktionsweise einen weiteren entscheidenden Vorteil: Sie leiten den bi-direktionalen Datenverkehr vollständig aus. Das bedeutet, Sie erhalten die Sende- und Empfangsrichtung einer Voll-Duplex Leitung separat ausgegeben und können somit z.B. eine 1G Leitung auch bei einer maximalen Auslastung von 2Gbps verlustfrei analysieren. Daraus folgt, dass Sie zum Aufzeichnen der Netzwerkdaten jeweils zwei Netzwerkschnittstellen am Analysegerät benötigen.
Anhand dieser Methode lassen sich Sende- und Empfangsrichtung bequem voneinander differenzieren, wodurch Sie eine weitere Fehlerquelle eliminieren. SPAN-Ports hingegen müssen diese Daten, bevor sie an den SPAN-Port weitergegeben werden, im Speicher aggregieren, was aber nicht zu den primären Aufgaben eines Switches gehört und dadurch die Qualität des Analyseergebnisses erheblich negativ beeinflusst.
Ferner wird aufgrund der Nutzung von Spiegel-Ports der Switch Prozessor höher ausgelastet, wodurch Datenverluste auf dem SPAN-Port auftreten können.
Experten empfehlen deshalb für einen verlustfreien und zuverlässigen Mitschnitt von Netzwerkdaten ausschließlich den Einsatz von Netzwerk-/Ethernet-TAPs!
Ausführlichere Information zum Thema „Netzwerk-TAP gegen SPAN-/Mirror-Port“ finden Sie in unserem Whitepaper.
Aggregation-TAPs für Glasfaser (MM & SM)
und Kupfer-Netzwerkleitungen
Aggregation-TAPs besitzen die Fähigkeit, mehrere Datenströme zu bündeln oder, wie der Name schon sagt, zu aggregieren. Daraus ergibt sich ein wesentlicher Vorteil: Sie können mit dieser Technik anhand einer einzigen Netzwerkschnittstelle an Ihrem Analysegerät die Daten mehrerer Leitungen gleichzeitig auswerten.
Bei der Aggregation einer einzelnen Netzwerkverbindung spricht man von einem Port-Aggregation-TAP. Wird die Aggregation auf mehreren Leitungen ausgeübt, so nennt man diese Technik Link-Aggregation.
Das Schaubild unten zeigt u.a. das Schema eines Port-Aggregators. Wie man auf diesem Bild sehen kann, wird hier die TX & RX Leitung einer Netzwerkverbindung jeweils auf Monitoring-Port A & B aggregiert, womit man in der Lage ist die Daten einer Vollduplex Strecke mit nur einem einzigen Netzwerkanschluss gebündelt zu erfassen.
Somit erhalten Monitoring-Port A und B jeweils den gesamten Datenverkehr einer Strecke und man könnte mithilfe dieses Aggregation-TAPs die Netzwerkdaten zu Analysezwecken an einen Analyzer wie OmniPeek oder Wireshark schicken und zeitgleich den Netzwerkverkehr von einem Security-Gerät wie, z.B. einem IDS, überwachen lassen.
Ferner lassen sich unsere Aggregation-TAPs auch im TAP Mode, auch Breakout-Mode genannt, betreiben und wahlweise per DIP Schalter bequem zwischen diesen Funktionen hin und herschalten. Dies ist ein wesentlicher Vorteil und erlaubt es Ihnen, bei Bedarf zu Analysezwecken das Aggregation-TAP wie einen herkömmlichen TAP zu benutzen.
Zudem läßt sich ein Port-Aggregation-TAP auch als Regeneration-TAP einsetzen. In diesem Fall wird das anliegende Signal auf Netzwerk-Port A nach Netzwerk-Port B, Monitoring-Port A und Monitoring-Port B kopiert. Dies ist eine komfortable Methode, um ein einfaches Signal ohne komplexe Konfiguration auf bis zu 3 Ports zu vervielfältigen, die es Ihnen erlaubt, die anliegenden Daten mit 3 unterschiedlichen Monitoring-Werkzeugen gleichzeitig zu analysieren.
Verfügbare Betriebsmodi:
Aktive TAPs mit RJ45/M12/SFP Monitoring-Port beherrschen Breakout-Modus, Aggregation-Modus und Regeneration-Modus. Passive Fiber-TAPs mit LC/MTP® Monitoring-Port beherrschen systembedingt nur den Breakout-Modus.
Der Failsafe-/Passiv/Power-Off-Modus kommt lediglich bei aktiven TAPs mit RJ45/M12/SFP Monitoring-Port und einem etwaigen Stromverlust zum Tragen.
Breakout
Jedes über die Netzwerkleitung übertragene Ethernet-Paket wird in diesem Modus bei Beibehaltung der Datenintegrität im TAP separat gespiegelt.
Die Sende- als auch die Empfangsrichtung werden auf den beiden Monitoring-Ports separat ausgeben, so dass die Analyse des Netzwerkverkehrs in diesem Fall pro Datenrichtung erfolgen kann.
Ein weiterer großer Vorteil des Breakout-Modus ist die Sichtbarkeit auf den Netzwerkverkehr auch bei einer voll ausgelasteten Netzwerkverbindung. In diesem Modus wird die eingestellte Netzwerkgeschwindigkeit auf die Monitoring Ports übertragen.
Aggregation
In diesem Modus werden die Datenströme gebündelt und auf beiden der Monitoring-Ports aggregiert ausgegeben.
Dadurch können Sie mit einer einzigen Netzwerkschnittstelle an Ihrem Analysegerät die Netzwerkdaten einer Vollduplex-Leitung gleichzeitig auswerten.
Aufgrund der Aggregation in Hardware (FPGA) gehören in diesem Modus fehlerhafte Paketreihenfolgen beim Aufzeichnen der Vergangenheit an.
Beispielsweise kann man so in 100Base-Tx Leitungen verlustfrei den gesamten Datenverkehr aggregiert analysieren.
Regeneration
Regeneration wird verwendet, um 100% Vollduplex-Verkehr zu erfassen, der zur Analyse Ihres Netzwerks an mehrere Überwachungsgeräte (in diesem Fall bis zu 3) gesendet werden kann.
In diesem Modus werden die Netzwerkgeschwindigkeitseinstellungen, wie beim Breakout-Modus synchronisiert und die Einstellung am DIP Schalter wird für alle Ports übernommen.
Fail-Safe / Passiv / Power-Off Modus
Da Netzwerk-TAPs meist in kritische Netzwerkleitungen installiert werden, ist sicherzustellen, dass TAPs die Leitung in keinster Weise beeinflussen.
Mittels Fail-Safe verhält der TAP sich bei einem Ausfall oder bei einer willkürlichen Deaktivierung wie eine Kabelbrücke und sorgt dafür, dass die aktive Netzwerkverbindung nicht unterbrochen wird oder zumindest ohne TAP-Funktion weiter funktioniert und somit die aktive Leitung nicht negativ beeinflusst.
Bei einem Ausfall der Stromversorgung wird die aktive Netzwerkverbindung nicht unterbrochen! Lediglich die am Monitoring-Port angeschlossenen Geräte werden nicht mehr mit Daten versorgt.
Split Ratios / Lichtauskopplung bei Fiber-TAPs:
Um Daten aus einer optischen Netzwerkverbindung abzugreifen ist es notwendig einen Teil des zur Verfügung stehenden Lichtsignals auszukoppeln bzw. abzusplitten.
Die Split Ratio ist das Verhältnis der Menge des Lichts die weiterhin für die Glasfaser-Netzwerkverbindung zur Verfügung steht in Relation zur Lichtmenge die an die Monitoring-Ports des (passiven) Glasfaser Netzwerk-TAPs umgeleitet bzw. abgesplittet wird.
Eine Split Ratio von bspw. 70/30 bedeutet, dass 70% des Lichts weiterhin für die Netzwerkverbindung zur Verfügung steht, und 30% für die Monitoring-Ports abgesplittet wird.
Da diese TAPs aber einen Kupfer- oder SFP-basierten Monitoring-Ausgang besitzen stehen im Gegensatz zu Glasfaser-basierten Monitoring-Ports mittels OEO-Umwandlung – also einer Umwandlung des optischen in ein elektrisches Signal – 100% Signalstärke zur Verfügung.
Ihr Browser kann leider keine eingebetteten Frames anzeigen:
Sie können die eingebettete Seite über den folgenden Link aufrufen:
Fiber TAP Split Ratio 70:30 Animation
Ihr Browser kann leider keine eingebetteten Frames anzeigen:
Sie können die eingebettete Seite über den folgenden Link aufrufen:
Fiber TAP Split Ratio 70:30 Animation
Datendioden-Funktion:
Datendioden gewährleisten eine unidirektionale Kommunikation und stellen sicher, dass der Datenverkehr nur in eine Richtung fliessen kann.
Unidirektionale Netzwerkgeräte werden in der Regel eingesetzt, um die Informationssicherheit oder den Schutz kritischer digitaler Systeme, wie z. B. industrieller Kontrollsysteme oder Produktivnetze vor Cyberangriffen zu gewährleisten.
Unsere TAPs arbeiten wie eine Diode und lassen aus Sicherheitsgründen einen Zugriff über die Monitoring-Ports auf das Netzwerk nicht zu.
Durch die Hinzufügung dieses weiteren Sicherheits-Layers ist somit keine Kompromitierung der Netzwerkverbindung und des Produktivnetzwerks möglich.
Hardened TAPs
Speziell gehärtete Netzwerk-TAPs
PacketRaven Netzwerk-TAPs gehören schon in der Standardausführung zu den Netzwerkkomponenten über die ein Angriffsvektor ausgeschlossen wird.
Für High-Security-Bereiche nach IEC 62443 und kritische Infrastrukturen (KRITIS) reicht aber selbst das zuweilen nicht aus, weswegen NEOX Networks jetzt auch eine speziell gehärtete Version seiner Kupfer- und hybriden Fiber-TAPs anbietet.
Diese TAPs können, falls gewünscht, vorkonfiguriert ausgeliefert werden und lassen dann keine nachträglichen Konfigurationsänderungen mehr zu. Zusätzlich sind sie gegen ein unerwünschtes oder unbemerktes Öffnen durch spezielle Schrauben und Sicherheitssiegel abgesichert.
Und um das Ganze abzurunden besitzen diese TAPs auch noch eine besonders abgesicherte und verschlüsselte Firmware. Mittels Secureboot wird bei jedem Start des TAPs überprüft ob die zu ausführende Firmware eine gültige Signatur und einen autorisierten öffentlichen Schlüssel „Key“ besitzt.
Ist dies nicht der Fall kann der TAP nicht in Betrieb genommen werden.
ZUSÄTZLICHE SECURITY FEATURES
Secure TAPs
Extra sichere Fiber-TAPs
Secure Fiber-TAPs besitzen sowohl einen zusätzlichen optischen Isolator (Datendioden-Funktionalität), als auch einen optischen Filter die sicherstellen, daß unerwünscht einfallende Lichtsignale am Monitoring-Port blockiert werden, um das Netzwerk vor Kompromitierung zu schützen.
Durch eine sehr hohe Einfügedämpfung von bis zu 35dB auf dem Rückkanal des Monitoring-Ports in das produktive und zu schützende Netzwerk werden versehentliche oder vorsätzliche Injektionen von ungewollten Daten bzw. Lichtsignale in das aktive Netzwerk verhindert.
Sie bieten somit einen weiteren Security-Layer der einen erhöhten Schutz vor Angreifern und fehlerhaften Konfigurationen bietet.
Dadurch eignen sich unsere Secure TAPs speziell für geschäftskritische Anwendungen und Hochsicherheitsbereiche und KRITIS-Infrastrukturen mit hohen Anforderungen an die Sicherung sensibler Daten.
Unsere Secure TAPs sind 100% kompatibel mit unseren portablen Standard-TAPs ohne Datendioden-Funktionalität.
KEY FEATURES |
|
|
Bis zu 400 Gbps |
|
Volle Netzwerktransparenz |
|
Keine Beeinträchtigung des Datenverkehrs |
|
100% Netzwerkdaten |
|
Unsichtbar für Angreifer |
|
Kein Netzwerkzugriff via Monitoring-Port |
|
Flexibel einsetzbar |
|
Plug-n-Play |
|
Ausfallschutz bei Stromverlust |
|
PoE+ Power over Ethernet |
|
Redundante Stromversorgung |
|
Verschiedene Split Ratios |
|
Schnell und präzise |
|
Unterstützen Jumbo-Frames |
|
Verschiedene Montageoptionen |
|
Gehärtete & Secure Modelle verfügbar |
|
Made in Germany |