iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 10
0
Security

學習網路安全監控的30天系列 第 10

NSM 10 網路安全監控佈署方式 (TAP or SPAN?)

從開始的NSM網路安全監控概論,到示範第一個工具LogRhythm NetMon Freemium,前面九天已經介紹NSM基本概念與工具操作,在Lab環境裡用一台電腦裡的VM監控本機電腦網路流量,對於工具NetMon介面有些實作經驗,也進行基本偵測與分析,接下來該怎麼擴大測試,或者在實際公司網路環境中佈署呢?

Network TAP (Test Access Point)

第一種方法是用TAP,這是將網路線直接連上實體進行TAP的設備,被動式監控的方法,市面上有很多種TAP監控的設備,適合不同網路線例如Fiber、Copper,監控的頻寬也不一,如1G、10G、100G等等,最簡單的莫過於下圖長得像飛鏢的Star Tap,將兩端接好網路線,再將監控的網線接上NSM監控工具﹝例如LogRhythm NetMon﹞,無須額外電源,默默地將所有封包傳給監控工具,簡單易設,就算監控工具發生問題需要重開機,也完全不會影響正常網路流量。

https://ithelp.ithome.com.tw/upload/images/20181025/20084806J2A4AUOZlr.jpg
*網路截圖來自Amazon

下面是一篇Blog文章,可以看作者怎麼用簡單的TAP設備 和LogRhythm NetMon來監控小型家庭網路
How to Build a Miniature Network Monitor Device
https://logrhythm.com/blog/how-to-build-a-miniature-network-monitor-device/

SPAN (Switch Port Analyzer)/Port Mirroring

另一種方法是用SPAN/Port Mirroring,SPAN是Switch Port Analyzer的縮寫,管理Cisco設備或者學過CCNA的網管們應該對它都很熟悉,在非Cisco的設備通常是以Port Mirroring稱之,需要熟悉Switch設定才能架好把側錄的網路流量傳到同一Switch上的特定Port,再將NSM監控工具連到那個特定的Port;如果要將網路流量從一個Switch傳到另一個Switch上的NSM監控工具,就要用到RSPAN或ERSPAN的設定。關於這部分的技術可以參考以下文章:”Understanding SPAN,RSPAN,and ERSPAN”
https://community.cisco.com/t5/network-architecture-documents/understanding-span-rspan-and-erspan/ta-p/3144951

如果今天NSM監控工具是VM,要在VMware vSphere或Microsoft Hyper-V佈署怎麼辦?這時候查找的關鍵字就要換為Port Mirroring,Port Mirroring可以側錄虛擬Switch上的網路流量再傳到特定Port,設定很簡單,但是要注意NSM監控工具所需要的兩個網路介面:監聽介面和管理介面不能搞錯,而且要接到兩個不同的虛擬Switch上。

TAP vs SPAN 那個好?

網路上有很多相關文章討論那個方法比較好,有人支持TAP因為簡單易設,不需要另外在Switch上找閒置的Port ,而如下圖所示SPAN將側錄的接收(1Gb)與發送(1Gb)流量傳給SPAN Port時,丟2Gb流量到1Gb頻寬會大塞車,造成封包遺失。

https://ithelp.ithome.com.tw/upload/images/20181025/20084806BqzpUfehmH.png
*網路截圖來自Gigamon文章“To TAP or SPAN?”

現今複雜的網路環境也有很多情況是無法使用TAP,例如虛擬環境中的虛擬Switch,要監控VM間的網路流量,怎麼可能接TAP?若營運時間上必須24小時運作不允許down time重接網路線連接TAP,或者要監控好幾個不同Switch的網路流量但是各Switch間位置相隔甚遠佈線困難,自然只能用SPAN。只能說兩者各有利弊,大家自行斟酌情況,選擇適合的方式。文末附上兩篇比較TAP和SPAN的資料,供大家參考。

TAP vs SPAN Infographic
https://www.garlandtechnology.com/infographic-tap-vs-span

To TAP or to SPAN?
https://www.gigamon.com/content/dam/resource-library/english/white-paper/wp-tap-vs-span.pdf


上一篇
NSM 09: 深度分析封包﹝NetMon 可以直接當作IDS?﹞
下一篇
NSM 11: 買房看地點,網路安全監控也要選好位置
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言