Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla

12. huhtikuuta 2018

Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla

Edellisessä kirjoituksessa esiteltiin monitorointiverkon konsepti. Nyt pureudutaan tarkemmin liikenteen keräämiseen TAP:ien eli haaroittimien avulla. TAP (Test Access Points, Traffic Access Point) on passiivinen ratkaisu isojen liikennemäärien keräämiseen luotettavasti ja häiriöttömästi. Kytkimien span- tai mirror-portit ovat helposti saatavilla oleva ratkaisu, mutta ne on todettu monilta osin riittämättömiksi.

 

Mikä on TAP?

TAP on yksinkertaisesti laite, joka kytketään verkkoyhteyden väliin ja se kopioi yhteydellä kulkevan liikenteen toiseen porttiin. TAP on kuin kytkentäpaneeli, jonka läpi yhteys kytketään. Paneelin toisesta portista saadaan ulos kopio paneelin kautta kulkevasta liikenteestä. TAP on täysin läpinäkyvä fyysisen tason laite, joka kopioi kaiken yhteydellä näkyvän sellaisenaan ulos riippumatta kehystyksestä, koodauksesta, fyysisistä virheistä tai muusta. TAP soveltuu siis myös liikenteen kopiointiin muissakin kuin IP/Ethernet-ympäristöissä.

Passiivi-TAP:n ominaisuuksia ja etuja ovat:

  • Yksinkertainen ja luotettava: passiivinen, läpinäkyvä, ei käytä sähköä.
  • Turvallinen: täysin läpinäkyvä, ei sisällä mitään ip- tai mac-osoitetta, laitteeseen ei pääse käsiksi eikä se voi syöttää mitään takaisin verkkoon päin.
  • Tarkka: kopioi kaiken datan virheineen kaikkineen, ei muuta pakettien aikaleimoja tai -suhteita

TAP suunniteltiin alun perin jo 70-luvulla kopioimaan verkon liikenne passiivisesti valvontalaitteille. Sen jälkeen tapeista kehitelty erilaisia versioita eri käyttötarkoituksiin. Ennen kytkimien aikaa Hub toimi liikenteen monistimena ja kytkinten tulo markkinoille toi SPAN/Mirror-portit kaikkien vakiokalustoon. Nyt on palattu siihen pisteeseen, että TAP on ainoa skaalautuva ja luotettava ratkaisu isojen nopeuksien hajautuneiden verkkoympäristöjen monitorointiin.

Toimintatilat

TAP voi toimia erilaisissa toimintatiloissa, joille on omat käyttötarkoituksensa:

  • Breakout: tavallinen passiivinen haaroitus, jota käytetään liikenteen kopiointiin luotettavasti suurilla nopeuksilla.
  • Aggregation: kopiointi ja yhdistäminen yhteen tai useampaan ulostuloporttiin.
  • Regeneration: kopiointi yhdestä sisääntulosta moneen ulostuloon.
  • Filtering: liikenteen kopiointi ja pakettien suodatus L2-4-kerroksilla.
  • Bypass: aktiivinen ja vikasietoinen liikenteen kierrättäminen sivussa olevan esim. tietoturvalaitteen läpi.

TAP toimintatilat

Breakout-TAP yhdistettynä Network Packet Brokeriin, sopii nopeisiin kuitulinkkeihin ja luotettavaan liikenteen kopiointiin sellaisenaan. Suodatuksen, yhdistelyn ja muun liikenteen käsittelyn voi tehdä keskitetysti Packet Brokerilla. Breakout-TAP:sta monitoroivan portin molemmat suunnat tulevat ulos erillisistä porteista.

Muut TAP-mallit sopivat enemmän itsenäiseen käyttöön suoraan yksittäisten analysaattori-, valvonta- ja tietoturvalaitteiden kanssa. Aggregointi-TAP:lla saadaan molempien suuntien liikenne yhdistettyä ulos suoraan yhteen laiteporttiin, johon voi kytkeä analysaattorilaitteen.

TAP mallit

Mallit

TAP-malleja on sekä kuidulle että kuparikaapelille. Kuitu-TAP:t ovat yleensä passiivisia optisia jakoja, joissa ei ole sähköä eikä hallintaa. Niitä löytyy yksi- ja monimuotokuiduille, eri liittimillä ja eri jakosuhteilla. Jakosuhde kertoo mikä osuus lähetystehosta hajautetaan ulos kopiolle. Yleiset jakosuhteet ovat 50/50, 60/40, 70/30, 80/20 ja 90/10. Nyrkkisääntönä 70/30 voisi olla hyvä lähtökohta, mutta oman ympäristön tarpeet tehohäviön suhteen on huomioitava.

Kupari-TAP:t gigabit-nopeudella ovat aktiivisia ja vaativat sähkönsyötön. Ne on suunniteltu toimimaan linjalla olevien tietoturvalaitteiden kanssa luotettavasti. Aktiivi-TAP:eissa on rele, joka vikatilanteessa kytkee laitteen portit toisiinsa "kaapeliksi" ja liikenne jatkaa kulkuaan laitteen läpi normaalisti vaikka laite hajoaisi. Osassa malleista on myös hallinta, jolla esim. suodatusta tai toimintatilaa voi konfiguroida. Aggregointi-TAP:n mitoituksessa pitää huomioida, että monitoroitava yhteenlaskettu liikenne molempiin suuntiin mahtuu yhteen ulostuloporttiin. Filter-TAP:lla voidaan liikennemäärää pienentää jo kopiointivaiheessa suodattamalla karkealla tasolla vain haluttua liikennettä eteenpäin.

Virtualisoituun ja pilviympäristöön on olemassa myös oma vTAP, jolla pilven sisälle pimeisiin kohtiin saadaan näkyvyyttä. VTAP:n avulla virtuaalikoneiden liikenne saadaan peilattua ulos joko ulkoisille tai virtualisoiduille analysointilaitteille tai Packet Brokereille. Liikennettä voidaan siis suodattaa, yhdistellä ja analysoida jo pilvessä tuomatta kaikkea sieltä ulos. VTAP:eista löytyy eri versioita omaan privaattipilveen eri virtualisointiympäristöille ja yleisimpiin julkisiin pilviin. 

vTAP virtuaali- ja pilviympäristöihin

Käyttökohteet

TAP:ien käyttökohteet  ovat pääasiassa tuotantoliikenteen kopioiminen sivuun analysoitavaksi, valvottavaksi tai tallennettavaksi. TAP voi olla pysyvästi asennettuna tai tarpeen mukaan kytkettävänä keikkaluontoisena vianselvitys- tai mittaustyökaluna. Yksittäinen TAP kulkee näppärästi asentajan mukana ja toisessa ääripäässä kiinteään asennukseen löytyy räkkipaneelia suurilla porttimäärillä.

TAP:n avulla voidaan myös kierrättää liikenne sivussa olevan tietoturva- tai muun laitteen läpi. Näin saadaan jo yhdellä laitteella tuotua vikasietoisesti lisäominaisuuksia linjalle ja ketjutettua palveluita. Testauskäytössä TAP on käyttökelpoinen generoimaan ja syöttämään testiliikennettä. Testiliikennettä voidaan ottaa Tapin avulla tuotannosta ja monistaa sitä testilaitteille.

Erityisesti kriittisissä ympäristöissä, kuten teollisuusautomaatiossa ja terveydenhuollossa, tuotantoyhteyksille ei sallita minkäänlaisia katkoja. Siksi yhteyksien väliin ei voi laittaa aktiivista tietoturva- tai valvontalaitetta ja passiivinen TAP on ainoa vaihtoehto saada liikenne näkyviin ja valvontatietoa vietyä tuotantoverkon ulkopuolelle häiritsemättä itse tuotantoa.

​​​​​​​TAP on tarkkuutensa vuoksi erinomainen laite vaativiin ympäristöihin. Kaikki alkuperäinen data kopioituu sellaisenaan ja sitä ei voi manipuloida kukaan ulkopuolinen. Esim. fyysisen tason virheiden esiin saaminen voi olla hyödyllistä joissakin tapauksissa. Aikakriittisissä ympäristöissä on tärkeää, että pakettien väliset suhteet ja aikaleimat eivät muutu. TAP:n avulla pakettien alkuperäiset aikaleimat saadaan tarkasti talteen.

Kopioinnin jälkeen alkuperäinen data on vapaasti käsiteltävissä erillään tuotannosta. Tällä tavalla valvonta- tai tietoturvalaitteet eivät pääse syöttämään mitään takaisin tuotantoverkkoon ja häiritsemään tuotantoliikennettä. TAP on myös kustannustehokas tapa esim. vaikeiden runkoyhteyksien vianselvitykseen. Sen avulla päästään nopeasti kiinni ongelmiin, joita muulla tavalla voi olla erittäin vaikea saada esiin.

Käyttöönotto

TAP asennetaan yhteyden väliin ja asennuksen ajaksi yhteys on katkaistava. Sen jälkeen TAP on läpinäkyvä ja se kopioi liikennettä ulos riippumatta onko sitä kytketty eteenpäin mihinkään. Monitorointi voidaan ottaa käyttöön tai poistaa käytöstä milloin vain. Siksi on luontevaa, että TAP:t asennetaan valmiiksi silloin kun uusia yhteyksiä rakennetaan. TAP:t on hyvä olla valmiina, jolloin uudet yhteydet voidaan kytkeä suoraan niiden läpi ennen varsinaista käyttöönottoa. Näin vältytään turhilta tuotantokatkoilta.

TAP voidaan asentaa mihin kohtaan verkkoa tahansa päätelaiteyhteydestä runkolinkkiin. Luonnollisia paikkoja valvontaan ovat verkot reunat ja eri verkon osien liitoskohdat, joissa liikenne kasautuu samaan pisteeseen tai liikkuu organisaatiosta toiseen. Toki TAP voidaan lisätä myös keskelle flättiä ethernet-verkkoa, mutta silloin pitää tarkemmin kohdistaa haluttu näkyvyys tiettyyn asiaan, tai lisätä TAP:eja useisiin paikkoihin kattavamman näkyvyyden saamiseksi.

TAP voi olla korvaamaton apu uusien yhteyksien käyttöönotoissa tai laitetason ongelmien selvittelyssä kun pystytään selkeästi osoittamaan mitä yhteydelle lähtee ja mitä sieltä tulee. Tällä tavalla mahdolliset ongelmat saadaan nopeasti näkyviin ja vältytään ongelmien pallottelulta eri toimijoiden kesken.

TAP voidaan ottaa käyttöön itsenäisesti ja peilattua liikennettä ei ole pakko kytkeä mihinkään. Monitorointiliikenne TAP:lta ulos voidaan ottaa käyttöön tarvittaessa tai vaiheittain kytkemällä TAP osaksi Packet Brokeria tai suoraan analysaattorityökaluille. Ensin kuitenkin aina tarvitaan TAP, josta liikenne saadaan ulos. Vasta sen jälkeen voidaan viedä liikennettä eteenpäin ja käsitellä sitä.

 

Seuraavassa osassa kerrotaan Network Packet Brokereista eli miten TAP:eilta tulevaa monitorointiliikennettä voidaan ohjata ja käsitellä eteenpäin työkaluille. 


Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.