Last updated: August 6, 2024
Banner - Wofür brauche ich Netzwerk-TAPs?
NEOX-Checkbox
Erfassung und Spiegelung des Netzwerkverkehrs für Observability & Sicherheit

NEOX-Checkbox
Network Intelligence in Echtzeit zur Erkennung und Abwehr von Bedrohungen (NetSecOps/NDR)

NEOX-Checkbox
Hinzufügen oder Entfernen von Inline-Sicherheitstools ohne Unterbrechung des Netzwerkverkehrs

Warum brauche ich ein TAP? - Infografik

Was sind Netzwerk-TAPs und
welchen Vorteil haben sie gegenüber SPAN-Ports?

Der Ausdruck TAP ist eine Abkürzung und steht für Test Access Port. Ein Netzwerk-TAP auch Ethernet TAP genannt, stellt einen passiven Zugriffspunkt zu einer Netzwerkverbindung her, womit die über das Kabel übertragenen Datensignale zu Analysezwecken mitgelesen und ausgewertet werden können.

Einmal installiert, kann mithilfe eines TAPs, der gesamte Datenverkehr transparent, schnell, einfach und ohne Beeinträchtigung der aktiven Netzwerkleitung, für verschiedene Monitoring-Anwendungen bereitgestellt werden. Ein Netzwerk-TAP arbeitet auf dem OSI Layer 1 und besitzt keine MAC Adresse. Daher ist es im Netzwerk unsichtbar und kann auch von keinem Angreifer erkannt werden. Dies ist gerade in der Netzwerkforensik und im Sicherheitsbereich unabdingbar, da ansonsten Kriminelle auf das Vorhandensein des TAPs Rücksicht nehmen könnten.

Die Nutzung von TAPs hat einen weiteren Vorteil: Sie bestimmen selbst, wo Sie die Daten abgreifen möchten. Diese Flexibilität ist von großem Nutzen, da Sie so in der Lage sind die Qualität Ihrer Messergebnisse stark beeinflussen und verbessern zu können.

Netzwerk-TAPs sind passive Komponenten und beeinflussen den originären Datenverkehr in keinster Weise. Durch die zusätzliche “Fail-Open” Technologie bei den Ethernet Kupfer-TAPs wird die Datenleitung auch im Falle einer Stromunterbrechung durchgeschaltet, der Netzwerk-TAP arbeitet wie eine Kabelbrücke und schützt dabei Ihr Produktiv-Netz vor einem Ausfall. Somit erhalten Sie akkurate Daten zur fehlerfreien Analyse direkt aus der Leitung.

Durch die Nutzung von SPAN-Ports hingegen kann das Ergebnis verfälscht werden, da diese Technik im Store-and-Forward Modus arbeitet und FCS/CRC Fehler auf OSI Layer 2 Ebene verwirft, statt sie auf dem Spiegel-Port auszugeben. Im Gegensatz dazu leiten Ethernet-Taps diese kritischen CRC Fehler ohne Beeinträchtigung der originalen Daten aus. Ferner arbeitet ein Netzwerk-TAP mit Kupfer- oder SFP-Monitoring-Port wie eine Diode und lässt aus Sicherheitsgründen einen Zugriff über die Monitoring-Ports auf das Netzwerk nicht zu. Eine professionelle Netzwerkanalyse ist daher nur durch den Einsatz von TAPs gewährleistet.

Funktionsweise eine SPAN-Ports
Funktionsweise eine SPAN-Ports

Darüber hinaus bekommen Sie beim Einsatz mehrerer TAPs ein sehr viel genaueres Messergebnis und können so Netzwerk- und Anwendungsfehler noch schneller und präziser identifizieren. So gewinnen Sie wertvolle Zeit beim Beheben von Netzwerkfehlern und -problemen. Statt der aufwändigen Konfiguration von SPAN-Ports, lassen sich Netzwerk-TAPs Plug-n-Play, ohne technische Vorkenntnisse, in kürzester Zeit installieren und in Betrieb nehmen. Aus gutem Grunde rät deshalb Cisco, der weltweit führende Netzwerkausrüster, vom Einsatz solcher SPAN-Ports für die Netzwerk Analyse bewusst ab.

Netzwerk-TAPs haben aufgrund Ihrer Funktionsweise einen weiteren entscheidenden Vorteil: Sie leiten den bi-direktionalen Datenverkehr vollständig aus. Das bedeutet, Sie erhalten die Sende- und Empfangsrichtung einer Voll-Duplex Leitung separat ausgegeben und können somit z.B. eine 1G Leitung auch bei einer maximalen Auslastung von 2Gbps verlustfrei analysieren. Daraus folgt, dass Sie zum Aufzeichnen der Netzwerkdaten jeweils zwei Netzwerkschnittstellen am Analysegerät benötigen.

Anhand dieser Methode lassen sich Sende- und Empfangsrichtung bequem voneinander differenzieren, wodurch Sie eine weitere Fehlerquelle eliminieren. SPAN-Ports hingegen müssen diese Daten, bevor sie an den SPAN-Port weitergegeben werden, im Speicher aggregieren, was aber nicht zu den primären Aufgaben eines Switches gehört und dadurch die Qualität des Analyseergebnisses erheblich negativ beeinflusst.

Ferner wird aufgrund der Nutzung von Spiegel-Ports der Switch Prozessor höher ausgelastet, wodurch Datenverluste auf dem SPAN-Port auftreten können.

Experten empfehlen deshalb für einen verlustfreien und zuverlässigen Mitschnitt von Netzwerkdaten ausschließlich den Einsatz von Netzwerk-/Ethernet-TAPs!

Ausführlichere Information zum Thema „Netzwerk-TAP gegen SPAN-/Mirror-Port“ finden Sie in unserem Whitepaper.

Aggregation-TAPs für Glasfaser (MM & SM)
und Kupfer-Netzwerkleitungen

Aggregation

Aggregation-TAPs besitzen die Fähigkeit, mehrere Datenströme zu bündeln oder, wie der Name schon sagt, zu aggregieren. Daraus ergibt sich ein wesentlicher Vorteil: Sie können mit dieser Technik anhand einer einzigen Netzwerkschnittstelle an Ihrem Analysegerät die Daten mehrerer Leitungen gleichzeitig auswerten.

Bei der Aggregation einer einzelnen Netzwerkverbindung spricht man von einem Port-Aggregation-TAP. Wird die Aggregation auf mehreren Leitungen ausgeübt, so nennt man diese Technik Link-Aggregation.

Das Schaubild unten zeigt u.a. das Schema eines Port-Aggregators. Wie man auf diesem Bild sehen kann, wird hier die TX & RX Leitung einer Netzwerkverbindung jeweils auf Monitoring-Port A & B aggregiert, womit man in der Lage ist die Daten einer Vollduplex Strecke mit nur einem einzigen Netzwerkanschluss gebündelt zu erfassen.

Somit erhalten Monitoring-Port A und B jeweils den gesamten Datenverkehr einer Strecke und man könnte mithilfe dieses Aggregation-TAPs die Netzwerkdaten zu Analysezwecken an einen Analyzer wie OmniPeek oder Wireshark schicken und zeitgleich den Netzwerkverkehr von einem Security-Gerät wie, z.B. einem IDS, überwachen lassen.

Ferner lassen sich unsere Aggregation-TAPs auch im TAP Mode, auch Breakout-Mode genannt, betreiben und wahlweise per DIP Schalter bequem zwischen diesen Funktionen hin und herschalten. Dies ist ein wesentlicher Vorteil und erlaubt es Ihnen, bei Bedarf zu Analysezwecken das Aggregation-TAP wie einen herkömmlichen TAP zu benutzen.

Zudem läßt sich ein Port-Aggregation-TAP auch als Regeneration-TAP einsetzen. In diesem Fall wird das anliegende Signal auf Netzwerk-Port A nach Netzwerk-Port B, Monitoring-Port A und Monitoring-Port B kopiert. Dies ist eine komfortable Methode, um ein einfaches Signal ohne komplexe Konfiguration auf bis zu 3 Ports zu vervielfältigen, die es Ihnen erlaubt, die anliegenden Daten mit 3 unterschiedlichen Monitoring-Werkzeugen gleichzeitig zu analysieren.

Verfügbare Betriebsmodi:

Ausrufezeichen - Achtung

Aktive TAPs mit RJ45/M12/SFP Monitoring-Port beherrschen Breakout-Modus, Aggregation-Modus und Regeneration-Modus. Passive Fiber-TAPs mit LC/MTP® Monitoring-Port beherrschen systembedingt nur den Breakout-Modus.
Der Failsafe-/Passiv/Power-Off-Modus kommt lediglich bei aktiven TAPs mit RJ45/M12/SFP Monitoring-Port und einem etwaigen Stromverlust zum Tragen.

Breakout

Kupfer/RJ45 Netzwerk-TAP - Breakout Modus
Breakout Modus

Jedes über die Netzwerkleitung übertragene Ethernet-Paket wird in diesem Modus bei Beibehaltung der Datenintegrität im TAP separat gespiegelt.

Die Sende- als auch die Empfangsrichtung werden auf den beiden Monitoring-Ports separat ausgeben, so dass die Analyse des Netzwerkverkehrs in diesem Fall pro Datenrichtung erfolgen kann.

Ein weiterer großer Vorteil des Breakout-Modus ist die Sichtbarkeit auf den Netzwerkverkehr auch bei einer voll ausgelasteten Netzwerkverbindung. In diesem Modus wird die eingestellte Netzwerkgeschwindigkeit auf die Monitoring Ports übertragen.

Aggregation

Kupfer/RJ45 Netzwerk-TAP - Aggregation Modus
Aggregation Modus

In diesem Modus werden die Datenströme gebündelt und auf beiden der Monitoring-Ports aggregiert ausgegeben.

Dadurch können Sie mit einer einzigen Netzwerkschnittstelle an Ihrem Analysegerät die Netzwerkdaten einer Vollduplex-Leitung gleichzeitig auswerten.

Aufgrund der Aggregation in Hardware (FPGA) gehören in diesem Modus fehlerhafte Paketreihenfolgen beim Aufzeichnen der Vergangenheit an.

Beispielsweise kann man so in 100Base-Tx Leitungen verlustfrei den gesamten Datenverkehr aggregiert analysieren.

Regeneration

Kupfer/RJ45 Netzwerk-TAP - Regeneration Modus
Regeneration Modus

Regeneration wird verwendet, um 100% Vollduplex-Verkehr zu erfassen, der zur Analyse Ihres Netzwerks an mehrere Überwachungsgeräte (in diesem Fall bis zu 3) gesendet werden kann.

In diesem Modus werden die Netzwerkgeschwindigkeitseinstellungen, wie beim Breakout-Modus synchronisiert und die Einstellung am DIP Schalter wird für alle Ports übernommen.

Fail-Safe / Passiv / Power-Off Modus

Da Netzwerk-TAPs meist in kritische Netzwerkleitungen installiert werden, ist sicherzustellen, dass TAPs die Leitung in keinster Weise beeinflussen.

Mittels Fail-Safe verhält der TAP sich bei einem Ausfall oder bei einer willkürlichen Deaktivierung wie eine Kabelbrücke und sorgt dafür, dass die aktive Netzwerkverbindung nicht unterbrochen wird oder zumindest ohne TAP-Funktion weiter funktioniert und somit die aktive Leitung nicht negativ beeinflusst.

Bei einem Ausfall der Stromversorgung wird die aktive Netzwerkverbindung nicht unterbrochen! Lediglich die am Monitoring-Port angeschlossenen Geräte werden nicht mehr mit Daten versorgt.

Kupfer-Netzwerk-TAP im Fail-Safe / PAssiv / Power-Off Modus
Fail-Safe / Passive / Power-Off Modus

Split Ratios / Lichtauskopplung bei Fiber-TAPs:

Um Daten aus einer optischen Netzwerkverbindung abzugreifen ist es notwendig einen Teil des zur Verfügung stehenden Lichtsignals auszukoppeln bzw. abzusplitten.

Die Split Ratio ist das Verhältnis der Menge des Lichts die weiterhin für die Glasfaser-Netzwerkverbindung zur Verfügung steht in Relation zur Lichtmenge die an die Monitoring-Ports des (passiven) Glasfaser Netzwerk-TAPs umgeleitet bzw. abgesplittet wird.

Eine Split Ratio von bspw. 70/30 bedeutet, dass 70% des Lichts weiterhin für die Netzwerkverbindung zur Verfügung steht, und 30% für die Monitoring-Ports abgesplittet wird.

Da diese TAPs aber einen Kupfer- oder SFP-basierten Monitoring-Ausgang besitzen stehen im Gegensatz zu Glasfaser-basierten Monitoring-Ports mittels OEO-Umwandlung – also einer Umwandlung des optischen in ein elektrisches Signal – 100% Signalstärke zur Verfügung.

Glasfaser/Fiber-Netzwerk-TAP Split Ratio / Lichtauskopplung Diagramm - 50:50
Glasfaser/Fiber-Netzwerk-TAP Split Ratio / Lichtauskopplung Diagramm - 60:40


Datendioden-Funktion:

Datendioden gewährleisten eine unidirektionale Kommunikation und stellen sicher, dass der Datenverkehr nur in eine Richtung fliessen kann.

Unidirektionale Netzwerkgeräte werden in der Regel eingesetzt, um die Informationssicherheit oder den Schutz kritischer digitaler Systeme, wie z. B. industrieller Kontrollsysteme oder Produktivnetze vor Cyberangriffen zu gewährleisten.

Unsere TAPs arbeiten wie eine Diode und lassen aus Sicherheitsgründen einen Zugriff über die Monitoring-Ports auf das Netzwerk nicht zu.

Durch die Hinzufügung dieses weiteren Sicherheits-Layers ist somit keine Kompromitierung der Netzwerkverbindung und des Produktivnetzwerks möglich.

Datendioden-Funktion unserer Netzwerk-TAPs
Netzwerk-TAP mit Datendioden-Funktion

Hardened TAPs
Speziell gehärtete Netzwerk-TAPs

PacketRaven Netzwerk-TAPs gehören schon in der Standardausführung zu den Netzwerkkomponenten über die ein Angriffsvektor ausgeschlossen wird.

Für High-Security-Bereiche nach IEC 62443 und kritische Infrastrukturen (KRITIS) reicht aber selbst das zuweilen nicht aus, weswegen NEOX Networks jetzt auch eine speziell gehärtete Version seiner Kupfer- und hybriden Fiber-TAPs anbietet.

Diese TAPs können, falls gewünscht, vorkonfiguriert ausgeliefert werden und lassen dann keine nachträglichen Konfigurationsänderungen mehr zu. Zusätzlich sind sie gegen ein unerwünschtes oder unbemerktes Öffnen durch spezielle Schrauben und Sicherheitssiegel abgesichert.

Und um das Ganze abzurunden besitzen diese TAPs auch noch eine besonders abgesicherte und verschlüsselte Firmware. Mittels Secureboot wird bei jedem Start des TAPs überprüft ob die zu ausführende Firmware eine gültige Signatur und einen autorisierten öffentlichen Schlüssel „Key“ besitzt.

Ist dies nicht der Fall kann der TAP nicht in Betrieb genommen werden.

KRITIS-Approved - für kritische Infrastrukturen geeignet
IEC62443 Approved

NEOXPacketRaven - Hardened-Netzwerk-TAP - für KRITIS - IEC 62443

ZUSÄTZLICHE SECURITY FEATURES

Vorkonfiguriert
(Optional)
Fix vorkonfiguriert
Secure-Boot Firmware
Abgesicherte und verschlüsselte Firmware
Sicherheitssiegel
Sicherheitssiegel
gegen unbemerktes Öffnen
Sicherheitsschrauben
Sicherheitsschrauben
gegen unerwünschtes Öffnen

Secure TAPs
Extra sichere Fiber-TAPs

Secure Fiber Network TAP - mit Datendioden-Funktionalität
Secure Fiber-TAPs mit
Datendioden-Funktionalität

Secure Fiber-TAPs besitzen sowohl einen zusätzlichen optischen Isolator (Datendioden-Funktionalität), als auch einen optischen Filter die sicherstellen, daß unerwünscht einfallende Lichtsignale am Monitoring-Port blockiert werden, um das Netzwerk vor Kompromitierung zu schützen.

Durch eine sehr hohe Einfügedämpfung von bis zu 35dB auf dem Rückkanal des Monitoring-Ports in das produktive und zu schützende Netzwerk werden versehentliche oder vorsätzliche Injektionen von ungewollten Daten bzw. Lichtsignale in das aktive Netzwerk verhindert.

Sie bieten somit einen weiteren Security-Layer der einen erhöhten Schutz vor Angreifern und fehlerhaften Konfigurationen bietet.

Dadurch eignen sich unsere Secure TAPs speziell für geschäftskritische Anwendungen und Hochsicherheitsbereiche und KRITIS-Infrastrukturen mit hohen Anforderungen an die Sicherung sensibler Daten.

Unsere Secure TAPs sind 100% kompatibel mit unseren portablen Standard-TAPs ohne Datendioden-Funktionalität.

KEY FEATURES

Up to 400G network speed
Bis zu
400 Gbps
Volle Netzwerktransparenz
Volle
Netzwerktransparenz
Keine Beeinträchtigung
Keine Beeinträchtigung
des Datenverkehrs
100% Netzwerkdaten
100%
Netzwerkdaten
Unischtbar im Netzwerk
Unsichtbar
für Angreifer
Kein Zugriff über Monitoring-Port
Kein Netzwerkzugriff
via Monitoring-Port
Flexibel einsetzbar
Flexibel
einsetzbar
Plug-n-Play
Plug-n-Play
Stromversorgungsverlust
Ausfallschutz
bei Stromverlust
PoE+ - Power over Ethernet
PoE+
Power over Ethernet
Redundante Stromversorgung
Redundante
Stromversorgung
Verschiedene Split-Ratios erhältlich
Verschiedene
Split Ratios
Schnell & Präzise
Schnell und
präzise
Jumbo-Frames
Unterstützen
Jumbo-Frames
Verschiedene Montageoptionen verfügbar
Verschiedene
Montageoptionen
Secure/Hardened Modelle verfügbar
Gehärtete & Secure
Modelle verfügbar
Entworfen, assembliert, zertifiziert und getestet in Deutschland
Made in
Germany

VIDEOS:

it-sa 2022 Vortrag: Netzwerksicherheit im toten Winkel - 360° Rundumsicht dank Netzwerk-TAPs
it-sa 22 Vortrag:
Netzwerksicherheit im toten Winkel - 360° Rundumsicht dank Netzwerk-TAPs

DOWNLOADS:

Whitepaper - Netzwerk-TAP gegen SPAN-/Mirror-Port
Whitepaper
Netzwerk-TAP gegen
SPAN-/Mirror-Port
Datasheet Download - NEOXPacketRaven - Portable Network TAPs Family
Datasheet - PacketRaven Portable Familie
Datasheet Download - PacketRaven Modulare Netzwerk-TAPs
Datenblatt - PacketRaven Modular Familie
Kontaktieren Sie uns

Unsere Netzwerk-TAP Produktfamilien:

PacketRaven Modular

MODULARE HIGH DENSITY
Netzwerk-TAPs



PacketRaven Portable

PORTABLE & RACKMOUNTABLE
Netzwerk-TAPs



PacketRaven Virtual

VTAP – VIRTUELLER CLOUD
Netzwerk-TAP


Virtual-TAP - vTAP - Cloud TAP

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!