Im Netzwerk gilt wie beim Sport die Grundregel: schneller, höher, weiter. Die Bandbreitenanforderungen steigen
mit jeder neuen Programmgeneration, die Netzwerkmedien passen sich in Sprüngen der Nachfrage an. Im
Backbone gilt mittlerweile 10 Gigabit-Ethernet als Standardtechnologie für Neuinstallationen, Pilotinstallationen
nutzen 40 und 100 Gigabit. So erfreulich der technische Fortschritt auch ist, für viele Administratoren stellen die
hohen Bandbreiten eine große Herausforderung dar. Die riesige Menge an Daten erschwert das Monitoring von
Applikationen, von der Fehlersuche ganz zu schweigen. Schon der Zugriff auf die Pakete gestaltet sich schwi-
erig. In großen Netzwerken gibt es traditionell zwei Möglichkeiten, Datenpakete im laufenden Betrieb abzugrei-
fen. Zum einen können praktisch alle Mid- und High- End Switches den Datenverkehr einzelner Ports auf einen
so genannten Mirror- oder Span-Port kopieren. Ein dort angeschlossener Analyzer sieht alle Pakete des
Quellports. Die zweite Möglichkeit stellt ein Test Access-Port (TAP). TAPs werden in die Netzwerkleitung einge-
schleift und stellen die durchfließenden Pakete an einem dedizierten High-Speed Port zur Verfügung.
Während Span- Ports in den Switches sozusagen eine freie Dreingabe sind, verursacht ein TAP Kosten durch
die Anschaffung. Dafür umgeht er die angesprochenen Schwierigkeiten durchweg sehr elegant. Der TAP ist
zunächst ein völlig passives Element im Netzwerk, das bis hinunter zum OSI-Layer 1 nicht oder nur mit speziel-
len Tools wie einem Time- Domain- Reflektometer "gesehen" werden kann.
®
Trotzdem leitet er alle Pakete der Netzwerkverbindung transparent, also ohne jede Veränderung, an den
Monitoring-Port weiter. Zum Teil aggregieren TAPS auch Daten auf einen Port, so können die meisten Geräte
den Sende- und Empfangsanteil auf einem Monitoring- Port zusammenfassen. Um die Daten an diesem dedi-
zierten Port bereit zu stellen ist zwar eine Stromversorgung nötig, fällt der Strom aus, bleibt die Funktion der
überwachten Netzwerkverbindung aber unbeeinträchtigt. Meist sorgen redundante Spannungsversorgungen für
Ausfallsicherheit beim Betrieb. Fast immer sind auch Pufferspeicher eingebaut, die kurzfristig anfallende Daten
zwischenlagern, bis die Monitoring- Anwendung sie abholen kann.
Wer TAPs zur ad- hoc Fehlersuche nutzt, wird die Geräte nach Abschluss der Aufgabe aus dem Datenpfad
entfernen. Bei der Verwendung als Datenweiche für das Monitoring sieht die Situation anders aus, hier bleiben
die Geräte an ihrem Einsatzort. In größeren Netzwerken haben Administratoren entweder die Möglichkeit viele
einzelne TAPs an den jeweiligen Brennpunkten des Netzwerks zu nutzen oder mit einem neuen Konzept zu
arbeiten. Intelligent TAPs sind in der Lage zahlreiche Netzwerkverbindungen zu überwachen und frei konfigurier-
bar zu aggregieren, zu regenerieren und auf beliebige Ports zu kopieren. TAPs wie der Director™ von Net Optics
verbinden Dutzende oder Hunderte von Netzwerkverbindungen über eine Konfigurationssoftware mit einem Pool
von Monitoring- oder Sicherheits-Tools.
Netzwerk- TAPs verfügen über sehr leistungsstarke CPUs und Signalprozessoren. Bei Net Optics heißt die
Technik TapFlow, die neben der reinen Kopie von Netzwerkverbindungen auf andere Ports auch Filterfunktionen
übernehmen können. So lassen sich aus einer überwachten Datenverbindung in Abhängigkeit des verwendeten
Protokolls, von IP-Adressen, Ports oder sogar den Nutzdaten innerhalb eines Pakets einzelne Ströme herausfil-
tern und gezielt an Analysegeräte weiterleiten. Damit ist eine Vorauswahl der Diagnosedaten möglich, die die
Analysetools entlasten und die spätere Auswertung verkürzen. Zum Beispiel könnte man Datenbank-
Netzwerkverkehr zu einem speziellen Analyzer oder Rekorder schicken, um mit den SOX- Anforderungen
konform zu gehen. PCI- relevanter Traffic ließe sich zu einem anderen Analyzer dirigieren und das IDS-System
bekommt eine Kopie aller Datenpakete. Auch möglich: Signalisierung und Nutzdaten werden voneinander
getrennt. So kann der Gesprächsauf- und Abbau sowie der Handshake- Prozess von VoIP- Traffic auf einen
Monitoring-Port zur Beobachtung gelegt werden, die Sprachdaten werden entweder aus Datenschutzgründen
transparent durchgeleitet oder, wenn es sich um rechtliche relevante Gespräche handelt, auf einen anderen Port
zur Speicherung kopiert.
®
Aktuelle Geräte sind meist in der Lage, selbst einfache Monitoring- Aufgaben zu übernehmen. Netzwerkstatis-
tiken wie absolute Auslastung, Auslastung nach Protokollen oder IP-Adresse werden per SNMP übermittelt und
ausgewertet. Bei Net Optics sind sogar einfache RMON- Statistiken im Funktionsumfang des Director™
enthalten. Mit den Angaben lassen sich erste Aussagen über den grundsätzlichen Status im Netzwerk treffen,
ohne ein komplexes Tool einzusetzen. Trotzdem sind Filtering- TAPs in der Anwendung nicht komplexer als ein
einfaches TAP- Device. Sie werden in das Netzwerk eingeschleift, mit dem Stromanschluss verbunden und über
eine Managementsoftware konfiguriert.
Administratoren bevorzugen für die Konfiguration im Feld eine Kommandozeile, die von den intelligenten TAPs
zur Verfügung gestellt werden. Im Enterprise-Umfeld haben viele Admins Erfahrung mit der Verwaltung von
Cisco- Switches, eine ähnliche Syntax verkürzt die Einarbeitungszeit und macht das Handling einfacher. Weil
Data Switches enorme und vor allem sensible Datenmengen über das Geschehen im Netzwerk liefern, sollten
die Zugänge sorgfältig gesichert sein. Bei der Nutzung des Browsers muss die Kommunikation über SSL laufen,
die Kommandozeile sollte ebenfalls mit einer Benutzeranmeldung gesichert und entweder lokal über den RS-232
Port oder eine SSH- Terminalverbindung laufen.
Enterprise-TAPs beherrschen zahlreiche Filterfunktionen, im Fall des NetOptics Director™ sind es über 1000
Filterelemente pro Chassis. Weil sich in den vergangenen Jahren die Syntax des IDS-Systems SNORT als
Branchenstandard durchgesetzt hat, zahlt es sich in reduziertem Schulungsaufwand und schnellerer Anpassung
des Filtering-TAPs an die eigenen Netzwerkumgebung aus, wenn das Gerät ebenfalls die SNORT- Syntax für die
Definition von Filtern heranzieht.
Disclaimer: Information contained herein is the sole and exclusive property of Net Optics Inc. The information within this document or item is confidential; it shall not be disclosed to a third
party or used except for the purpose of the recipient providing a service to Net Optics Inc. or for the benefit of Net Optics Inc. Your retention, possession or use of this information constitutes
your acceptance of these terms. Please note that the sender accepts no responsibility for viruses and it is your responsibility to scan attachments (if any).