0

Network TAP im Eigenbau

Die Idee einen Network TAP (Test Access Point) selber zu bauen kam dadurch, dass wir des Öfteren PCs kontrolliert haben, bei denen sich nicht erklärbare Phänomene zeigten. Zum Beispiel: Der PC hat sporadisch keinen Zugriff auf dem Server oder der Zugriff auf den Server ist sehr langsam.

Wie bekommen wir nun raus, ob und was der PC noch für Daten sendet bzw. empfängt? Wir müssen das Signal abgreifen und auswerten. Es gibt Switches, die mit einem sogenannten SPAN Port (Switch Port Analyser) arbeiten, der den Port spiegelt und so auf zwei Ports das Signal ausgibt so, dass Pakete ausgelesen werden können. Nicht jeder Kunde besitzt so einen Switch. Außerdem werden beim Switch oft defekte Pakete nicht gespiegelt. Die nächste Möglichkeit wäre ein Network TAP (Test Access Point). Wir haben uns schlau gemacht, ob und wie man sich einen TAP selber bauen kann.

tap

Für einen TAP benötigen wir zunächst vier Netzwerkdosen. Um die Netzwerkdosen zu fixieren, benutzen wir eine handelsübliche kleine Dose. In dieser werden die vier Netzwerkdosen eingelassen. Dabei gibt es einen Host A (z.B. der PC mit dem Phänomen), und einen Host B (der Switch). In TAP A und TAP B wird der PC, mit dem Sie die Pakete auslesen wollen angeschlossen. An TAP A sieht man die Pakete von Host A und an TAP B sieht man die Pakete von Host B. Dies bedeutet, dass wir zwei Netzwerkkarten oder eine mit zwei  Anschlüssen benötigen. Dies liegt daran, dass in diesem Fall die Pakete vom Switch und dem defekten PC ausgelesen werden, um nachzuprüfen welche Pakete wann verschickt bzw. angekommen sind.

TAPs können zwischen zwei beliebigen Netzwerkgeräten wie Router, Firewalls und Switches angeschlossen werden.

Foto2

Die Netzwerkdosen müssen, wie im Schaltplan zusehen, miteinander verbunden werden. Dabei sind Host A und Host B vollständig miteinander verbunden.

TAP A ist mit Host A und TAP B mit Host B verbunden. Im Gegensatz zu den Hosts untereinander sind diese jedoch so verbunden, dass TAP A und TAP B Pakete von Host A und Host B empfangen, aber keine Daten an diese senden können.

Schaltplan:

passive_fig_2

Quelle: www.epanorama.net

Einschränkungen bei SPAN Ports (Switched Port Analyzer)

Switches kopieren die Pakete und senden diese Kopien an den SPAN Port weiter. SPAN Ports haben aber einige Einschränkungen, die den Einsatz zur Fehlersuche erschweren. Wie erwähnt werden Pakete mit ungültigen Checksummen oder anderen Fehler verworfen. Leider sind defekte Netzwerkkarten oder Fehler an der Verkabelung so oft nicht zu finden. Die Bandbreite könnte auch zu einem Problem werden: Will der Nutzer einen ausgelasteten 100 Mbit Full Duplex Port auf einen SPAN Port spiegeln, müssten 200 Mbit Kapazität vorhanden sein.

TAPs umgehen die Einschränkungen der SPAN Ports

TAPs umgehen die angesprochenen Schwierigkeiten und Einschränkungen der SPAN Port Lösung, da alle Pakte abgegriffen werden. Der TAP ist ein völlig passives Element im Netzwerk. Trotzdem leitet er alle Pakete der Netzwerkverbindung transparent, an seinen Monitoring Port (TAP A, B) weiter. Somit bleibt das Netzwerk uneingeschränkt nutzbar.

Mit dem Programm Wireshark können Pakete ausgelesen und ausgewertet werden.

wireshark

Vor dem Einsatz einer TAP, ist es aus Datenschutz Gründen unbedingt notwendig, die von der Analyse betroffenen Benutzer vorab zu informieren. Da alle Daten mitgeschnitten werden, können z.B. auch Passwörter sichtbar sein.

Abgelegt unter: Allgemein, Hardware, Netzwerk, Tutorial Tags: , , , , , ,

Ähnliche Artikel

Bookmarke uns!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 2017 IT-Dienstleistungen. All rights reserved. XHTML / CSS Valid.