Что такое сетевые TAP? И зачем они нам?

Ответвитель сетевого трафика или «TAP» от «Test Access Point» - представляет собой аппаратное устройство, подключаемое в определенную точку сети, с целью перехвата, дублирования и последующей передачи сетевого траффика различным аналитическим системам. Например, системам мониторинга производительности сети и приложений, DLP, SIEM и т.п. Основной кейс использования TAP - это мониторинг сетевого трафика между двумя точками в сетевой инфраструктуре. Возьмем к примеру маршрутизатор и коммутатор, соединенные напрямую друг с другом. Траффик транслируемый от маршрутизатора к коммутатору назовем «восточным», траффик в обратном направлении соответственно «западным». Поместим между ними сетевой TAP, который будет соединять оба устройства по схеме: маршрутизатор – ТАР – коммутатор. Данные по-прежнему передаются между двумя маршрутизатором и коммутатором в обоих направлениях - восточном и западном. Но теперь траффик проходит через TAP, который копирует передаваемые сигналы с каждого устройства и отправляет их на специальные порты мониторинга.

Рисунок 1. Сетевой TAP

Простейший сетевой TAP состоит из четырех портов: двух сетевых портов A и B и двух портов мониторинга A и B. Сетевые порты собирают трафик из сети. Сетевой порт A принимает «восточный» трафик, а порт B – «западный». Порты мониторинга транслируют копию этого трафика далее на системы анализы траффика. Соответственно порт мониторинга A транслирует «восточный» траффик, а порт мониторинга B - «западный». TAP не является адресуемым сетевым устройством. Поэтому использование сетевых ответвителей не влияет на структуру сети, не усложняет ее, не требует внесения изменений в сетевые настройки. TAP делает копию трафика и отправляет ее через порты мониторинга на систему анализа траффика. И все это без какого-либо влияния на продуктивный траффик.

Рисунок 2. Схема подключения TAP «в разрыв» / «in-line»

Рисунок 3. Схема потока сетевого трафика, проходящего через TAP

Зачем нам нужен сетевой TAP?

Есть разные способы получить доступ к траффику вашей сети. Одним из наиболее традиционных методов является - использование порта SPAN (Switch Port Analyzer) на вашем коммутаторе / маршрутизаторе. Однако при использовании варианта со SPAN портом, нужно учитывать, что:

• необходимо провести настройку SPAN порта;
• идет гарантированная потеря данных - Layer 1 и частично Layer 2, а также данных о поврежденных и некорректных пакетах;
• есть риск потерять данные - при высокой нагрузке на коммутатор, приоритет траффика направленного на SPAN порт низкий, идет потеря пакетов;
• мы вынуждены обрабатывать ненужные, дублирующих друг друга пакеты, их генерация обусловлена особенностями работы SPAN порта;
• изменяются временные метки пакетов, что вносит ошибки в работу систем анализа траффика
• есть риски информационной безопасности - коммутатор адресуемое сетевое устройство, соответственно SPAN порт может являться целью атаки злоумышленников.

Другой метод - подключение системы анализа траффика в сетевую инфраструктуру непосредственно «в разрыв» / «in-line». В этом случае такая система становится точкой отказа, т.е. при выходе ее из строя, работа сервисов, использующих тоже сетевое соединение будет нарушена. Как видим в обоих сценариях есть ряд проблем. Но они легко решаются с помощью TAP. Сетевые ответвители обладают следующими преимуществами:

• не требует дополнительных настроек, единожды установленный TAP, предоставляет копию траффика на все случаи жизни;
• доступ к полной копии траффика, ко всем пакетам (включая поврежденные или некорректные);
• TAP не сбрасывает пакеты при высокой нагрузке;
• ТАР не генерирует дублирующих пакетов и не вносит изменений в копию траффика;
• TAP не является адресуемым сетевым устройством, соответственно не подвержен атакам на безопасность;
• TAP может использоваться как bypass решение для сторонних систем, подключаемых «в разрыв».

Рисунок 4. Потоки траффика в сетевом TAP

Какие еще типы TAP используются в сети?

Сетевой TAP (Network TAP, Breakout TAP) – это наиболее часто используемый TAP, принцип действия которого мы рассмотрели выше. Сетевой ТАР направляет траффик каждой направленности (восточный, западный) в отдельный порт мониторинга. Это гарантирует, что ни один пакет не будет потерян. Это особенно важно для высокоприоритетных инструментов мониторинга.

Кроме сетевых TAP существуют и другие типы ответвителей траффика, которые мы рассмотрим далее.

Агрегирующий TAP (Aggregation TAP) позволяет принимать сетевой трафик восточного и западного направлений с нескольких сетевых портов, объединять этот траффик и выводить в один порт мониторинга. Служит для сбора траффика из нескольких сегментов сети, а также для оптимизации (экономии) использования портов в инструментах мониторинга или пакетных брокерах.

Рисунок 5. Принцип работы агрегирующего TAP

Регенерирующий TAP (SPAN / Regeneration TAP) позволят вам принимать однонаправленный трафик из одного сегмента сети и отправлять его нескольким инструментам мониторинга. Этот тип сетевых ответвителей позволяет нам обойти ограничения количества доступных SPAN портов. В ситуациях, когда на коммутаторе доступен один SPAN порт, а нам необходимо подключить несколько систем анализа трафика.

Рисунок 6. Потоки траффика в регенерирующем TAP

Обходной TAP (Bypass TAP) позволяет вам выполнить подключение активного сетевого инструмента, будь то система мониторинга или решение сетевой безопасности, на ваших критических сетевых соединениях, по схеме «в разрыв». Подключение любого устройства по схеме «in-line» несёт под собой риск нарушения целостности сети. Подключая к сети Bypass TAP вместо активного сетевого инструмента, а сам инструмент подключая к Bypass TAP, вы можете гарантировать, что сетевое соединение будет продолжать работать, а активный инструмент не станет «точкой отказа».

Рисунок 7. Штатный режим работы bypass ТАР

Bypass TAP находясь в своем штатном рабочем режиме, будет поддерживать передачу трафика на подключенное активное сетевое устройство. И в то же время будет отправлять этому устройству служебные пакеты, т.н. пакеты «пульса». И пока эти пакеты «пульса» будут, проходя через устройство, возвращаться обратно в bypass TAP, TAP будет работать продолжать работать в штатном режиме. Если активное устройство по какой-либо причине перейдет в автономный режим и перестанет пропускать траффик, то TAP перестанет получать пакеты «пульса» и переключится в режим «bypass». И будет работать в этом режиме до тех пор, пока снова не начнет получать контрольные «пульс» пакеты, что будет указывать на то, что активное устройство снова подключено к сети.

Рисунок 8. Работы bypass ТАР в режиме «bypass».

Мы рассказали вам о принципах работы сетевых ответвителей, о том какие типы TAP существуют и для чего каждый из них предназначен, указали на ряд причин, по которым вам может потребоваться использование сетевые TAP, агрегирующие TAP, регенерирующих TAP и обходных TAP в вашей сети.