Netzwerk/L2/Port/Mirroring: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(59 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''Port Mirroring''' - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport
== Beschreibung ==
== Beschreibung ==
== Installation ==
; Motivation
== Anwendungen ==
* Verhalten von Endgeräte untersuchen
=== Fehlerbehebung ===
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==


== Siehe auch ==
; Möglichkeiten
=== Dokumentation ===
* Port Mirroring am Switch
==== RFC ====
* Netwerk-Tap
==== Man-Pages ====
==== Info-Pages ====
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Weblinks ====
# https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/port-mirroring-and-analyzers.html


== Testfragen ==
==== Problematik ====
<div class="toccolours mw-collapsible mw-collapsed">
; Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will
''Testfrage 1''
* Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach
<div class="mw-collapsible-content">'''Antwort1'''</div>
* Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


= TMP =
; Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten, die auf einem Port raus- und reingehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
== Warum Mirroring? ==
; Port Mirroring
* Verhalten von Endgeräte im Netzwerk untersuchen
* Port Mirroring am Switch
* Andere günstige Lösung
; Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will.
* Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach.
* Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann.
 
; Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten die auf einem Port raus und rein gehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
* So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.
* So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.


; Einsatzbereich
; Einsatzbereich
* Analyse von EndgerätenIch schaue schon mal gerne einem VoIP-Telefon auf die Finger, in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen.
Analyse von Endgeräten
* Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant.
* Ich schaue schon mal gerne einem VoIP-Telefon auf die Finger
* VerkehrsdatenerfassungWenn ihr Router/Switch kein SFLOW, NetFlow o.ä.
* in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen
* Unterstützt, dann ist es durchaus eine Option die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z.B. mit NTOP o.ä. FehlersucheGanz generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen.
* Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant
* Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht aber nicht, was letztlich auf dem Kabel landet.
* Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden.
* Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat.
* Das war in NETMON auf dem absendenden Server nicht zu sehen.


; Das Problem der großen Switches ist aber, dass Sie ein groß sind und damit eher stationär eingesetzt werden
; Verkehrsdatenerfassung
* Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen.
* Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. unterstützt, dann ist es durchaus eine Option, die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z.&nbsp;B.&nbsp; mit NTOP o.ä. Fehlersuche
* Zudem sind solche Switches in der Regel etwas teurer.
* Generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen
* Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht, aber nicht, was letztlich auf dem Kabel landet
* Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden
* Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat
* Das war in NETMON auf dem absendenden Server nicht zu sehen


== Mirror-Port oder Router/Bridge ==
; Das Problem der großen Switches ist aber, dass sie ein groß sind und damit eher stationär eingesetzt werden
; Auch wenn Lync ziemlich viel per TLS verschlüsselt und auch Outlook/Exchange/ActiveSync bevorzugt per SSL kommuniziert, so kann ein erfahrener Consultant aus einem Netzwerkmitschnitt doch sehr gut erkennen, was passiert und was eben auch nicht funktioniert.
* Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen
* Viele Basisfunktionen sind unverschlüsselt und so kann an gut sehen, welche DNS-Anfragen der Client macht und wie die Antworten darauf ausfallen.
* Zudem sind solche Switches in der Regel etwas teurer
* Auch einfache Protokolle (SNMP, TFTP, FTP, NTP) lassen sich erkennen.
* Selbst RTP ist zumindest erfassbar.
* für Server ist es auch interessant, welche Clients über welche Ports auf den Server zugreifen.
* Quasi eine Abbildung von NETFLOW/SFlow, wenn der Switch es nicht kann oder Sie darauf nicht zugreifen dürfen.
* Beachten Sie aber, dass eine interessante Verbindung bidirektional doppelt so viel Daten liefern kann, wie ein Mirrorport mit der gleichen Geschwindigkeit weiter geben kann.
* Um an diese Daten zu kommen können Sie verschiedene Wege gehen:* passiver "TAP"Nicht erst die NSA kennt diese Technik, um passiv an einem Kabel einfach "mit zu lauschen".
* Wer ein Glasfaser etwas "biegt" kann so eine kleine Menge des Lichts auskoppen und auffangen.
* Bei Kupferleitungen geht dies durch Übertrager.
* Es gibt auch für Ethernet mittlerweile elektronische Bauteile, die eingeschliffen werden und die Signale abgreifen.
* Dennoch ist dies ein eher aufwändiges Verfahren und eine schnelle Suche liefert ein paar "Selbstbauprojekte" mit Kabeln oder teure Komponenten:[[Image:Bild2.png|top]]
* Port-MirroringAm einfachsten ist es wirklich einen Hub oder Switch dazwischen zu schalten, der auf Layer2 die Pakete weiter gibt und die fraglichen Pakete also Kopie an einen zusätzlichen Port sendet.
* Hierfür stelle ich weiter unten eine kleine Lösung vor.
* Bridge samt MitschnittEine dritte Variante besteht darin den Überwachungscomputer quasi als "Switch/Bridge" in das Netzwerk zu integrieren.
* Das kann sogar mit einem normalen Windows-Client erfolgen.
* Sie können mit einem Windows PC nämlich eine Verbindung "überbrücken".
* Dies geht in den erweiterten Netzwerkeinstellungen:[[Image:Bild3.png|top]]
* Windows als NAT-RouterEine abgewandelte Funktion hierbei kann man dank" Internet Connection Sharing" mit Windows umsetzen.
* Eine Netzwerkkarte geht wie gewohnt zum Haus-LAN und die zweite Karte wird als "Intern" definiert.
* Der Testclient ist also in einem eigenen "Subnetz" und bekommt vom Windows-"Gateway" eine IP-Adresse und das Default Gateway.
* Alle Pakete des Clients werden durch den Windows PC als "NAT-Router" in das andere LAN geleitet.
* Auch hier kann auf dem Windows Gateway der Verkehr mitgeschnitten werden.[[Image:Bild4.png|top]]


; Die beiden Konfigurationen mit einem Windows PC als Vermittler ist natürlich auch mit anderen Betriebssystemen möglich.
=== Port-Spiegelung ===
* Sie benötigen aber zwei Netzwerkkarten.
Port Mirroring wird auf einem [https://en.wikipedia.org/wiki/Network_switch Netzwerk-Switch] verwendet, um eine Kopie von [https://en.wikipedia.org/wiki/Computer_network Netzwerk-] [https://en.wikipedia.org/wiki/Packet_(Informationstechnologie)-Paketen], die auf einem Switch-[https://en.wikipedia.org/wiki/Port_(Computer_Netzwerk)-Port] (oder einem gesamten [https://en.wikipedia.org/wiki/VLAN VLAN]) gesehen werden, an eine [https://en.wikipedia.org/wiki/Network_monitoring Netzwerküberwachung]-Verbindung auf einem anderen Switch-Port zu senden.
* Wer also mit einem Notebook unterwegs ist, muss eine zweite Netzwerkkarte z.B. über USB anbinden.
* Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z.&nbsp;B.&nbsp; ein [https://en.wikipedia.org/wiki/Intrusion_detection_system Intrusion Detection System], [https://en.wikipedia.org/w/index.php?title=Passive_probing&action=edit&redlink=1 Passive Probe] oder [https://en.wikipedia.org/wiki/Real_user_monitoring Real User Monitoring] (RUM) Technologie, die zur Unterstützung von [https://en.wikipedia.org/wiki/Application_performance_management Application Performance Management] (APM) verwendet wird.
* Diese kosten auch nicht mehr viel aber ohne weiteres Equipment ist nur ein Gerät anschließbar und der Durchsatz häng von diesem Zwischenstück ab.
* Port Mirroring auf einem [https://en.wikipedia.org/wiki/Cisco_Systems Cisco Systems] Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
* für eine "Ad Hoc"-Analyse ist dies aber durchaus eine Option.
* Andere Hersteller haben andere Bezeichnungen dafür, z.&nbsp;B.&nbsp; Roving Analysis Port (RAP) auf [https://en.wikipedia.org/wiki/3Com 3Com]-Switches.
* Nebenbei kann der PC selbst auch noch im Netzwerk arbeiten, d.h.
* wenn keine 802.1x-Authentifizierung den Zugriff verhindert, können Sie so an einem Port zwei Endgeräte betreiben.


== Ein Switch (z.B. NetGear GS105Ev2, DLink DGS-1100-05) ==
Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und [https://en.wikipedia.org/wiki/Debugging debug] oder Fehler in einem Netzwerk zu diagnostizieren.
; Da es für 100/1000 Megabit nur Switche gibt und keine Hubs mehr möglich sind, muss also ein Switch ins Haus, der einen Mirror-Port hat, klein und mobil ist und idealerweise nicht viel Geld kostet.
* Es hilft Administratoren, die Netzwerkleistung genau im Auge zu behalten und alarmiert sie, wenn Probleme auftreten.
* Natürlich gibt es sehr leistungsfähige Switches wie z.B. einen "CISCO SG 200-08P 8-port Gigabit PoE Smart Switch", der 8 Ports, SNMP, PoE für ca. 160€ oder unter 100€ ohne PoE mitbringt.
* Es kann verwendet werden, um entweder eingehenden oder ausgehenden Datenverkehr (oder beides) auf einer oder mehreren [https://en.wikipedia.org/wiki/Network_interface_controller Schnittstellen] zu spiegeln.
* Aber er kann schon wieder "zu viel" und ist mit dem Netzteil auch nicht gerade mobil.


; Für weniger als 25€ gibt es einen interessanteren Switch für den Zweck von NetGear.
# [https://en.wikipedia.org/wiki/Port_mirroring https://en.wikipedia.org/wiki/Port_mirroring]
* Auf der Homepage ( http://www.netgear.de/products/business/switches/prosafe-plus-switches/gs105e.aspx ) steht schon direkt neben dem Bild, dass "Netzwerk Monitoring" möglich ist.
* Das müsste natürlich "Mirroring" heißen.


[[Image:Bild5.png|top]]
=== Port-Mirroring ===
; Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port)
* So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie dargestellt


; Wem die 5 Ports nicht reichen, dann den GS108E mit 8 Ports kaufen, der kaum teurer aber eben größer ist.
[[Image:Bild14.png|top|alt="Bild :Datenverkehr auslesen mittels Port-Mirroring"]]
* Es gibt noch Varianten mit PoE-Port, die dann aber noch größer., schwerer und teurer sind.
* ich beschränke mich daher auf den kleinsten GS-105E.


; Auch andere Hersteller haben entsprechende Switche, z.B. DLink DSG-1100-05.
; Bild :Datenverkehr auslesen mittels Port-Mirroring
* der auch Mirroring und sogar SNMP anbietet.* ProSafeNetgear&nbsp; Plus Switcheshttp://www.netgear.de/products/business/switches/prosafe-plus-switches/
* DLink DGS-1100 Seriehttp://www.dlink.com/de/de/products/dgs-1100-series-gigabit-smart-switches


; Er unterstützt zwar kein Monitoring per Webbrowser oder SNMP, sondern nur über eine proprietäre Software, die anscheinend recht unkonventionell per UDP Broadcasts auf Port 63321/63322 kommuniziert, aber bezüglich Spiegelung auch ohne Handbuch konfiguriert werden kann.
; Der verwendete Switch muss hierzu Port-Mirroring unterstützen
* Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen
* Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
* Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen


[[Image:Bild6.png|top]]
; Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen
* Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen
* Es können nur Daten erfasst werden, die den Switch durchlaufen
* Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können
* Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden


; So einfach kann der Verkehr von Port 4 auf Port 5 spiegeln.
<noinclude>
* Man kann sogar mehrere Ports auswählen.
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Port}}
----
* [[T2600G/Maintenance/Mirroring]]


; Hinweis:Ein Computer am Zielport kann dennoch selbst auch noch weiter arbeiten.
==== Links ====
* Wenn er aber ein Paket versendet, welches dann über einen der Quellport weiter geleitet wird, dann bekommt er das Paket zusätzlich auch noch mal zu sehen.
===== Weblinks =====
* Auch eingehende Pakete an einem Quellport, die sowieso beim Zielport landen, werden dupliziert.
* [https://en.wikipedia.org/wiki/VLAN_access_control_list VLAN access control list] (VACL)
* Dies müssen Sie beim Mitschneiden berücksichtigen.
* https://www.juniper.net/documentation/us/en/software/junos/network-mgmt/topics/topic-map/port-mirroring-and-analyzers.html
 
* https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
Über die Funktion "Kabeltester" soll man sogar ermitteln können, wie weit ein Fehler vom Switch entfernt ist.
* Die Stromversorgung übernimmt ein kleines Steckernetzteil mit 12V/1A.
* Soweit ist alles perfekt.
* Der Zugang zum Switch ist mit einem Passwort gesichert (Default = password) und der Switch bezieht per DHCP eine eigene IP-Adresse.
 
; Kleiner Hinweis: Die Software verbindet sich per HTTP mit Adobe, um die aktuelle Version der AIR-Software zu prüfen und weiterhin per HTTPS zu "my.netgear.com".
* Vermutlich um den Registrierungsstatus des Switches zu erhalten.
* Interessanterweise kann man den Switch entgegen der Aussagen in Formen schon per HTTP ansprechen und es erscheint eine Kennwortabfrage.
* Aber in keiner Beschreibung gibt es einen Hinweis auf diese Zugangsdaten und was dann damit möglich ist.
* Netgear stellt aber auch eine Firmware zum Download bereit und da kann man schon mal allein mit einem Texteditor reinschauen und wird fündig:
 
[[Image:Bild7.png|top]]Blick mit Texteditor in GS105Ev2_V1.2.0.5.bin
 
; Seit Juni 2014 gibt es eine neue Firmware "GS105Ev2_V1.3.0.1 ", in der die Kennworte zumindest nicht mehr so einfach ersichtlich sind.
 
; Mit dem Benutzernamen "ntgrUser" und dem Kennwort "debugpassword" ist eine Anmeldung möglich.
 
[[Image:Bild8.png|top]]
 
; Mehr als einer leeren Webseite mit einer Bestätigung habe ich noch nicht erhalten.
* Weiterhin habe noch die Paarung "dniUser" und "password" gefunden, die aber nicht für die Webanmeldung taugt.
* Schaut man weiter im Code, dann finden sich durchaus Menüs, die man aber vermutlich eher per SSH oder Telnet erreichen könnte.
* Ein Portscan per NMAP hat aber nicht
 
[[Image:Bild9.png|top]]
 
; Ein Portscan mit NMAP hat aber keinen weiteren TCP-Port angezeigt, was aber nicht heißt, dass die Box nicht auf UDP-Pakete reagiert.
 
; C:\>nmap -p1-65535 192.168.178.47
 
; Starting Nmap 6.01 ( http://nmap.org ) at 2014-07-05 18:12 Mitteleuropäische Sommerzeit
; Nmap scan report für 192.168.178.47
; Host is up (0.094s latency).
; Not shown: 65534 filtered ports
; PORT  STATE SERVICE
80/tcp open  http
; MAC Address: xx:xx:xx:xx:xx:xx (Unknown)
 
; Vielleicht muss man diese Zugänge erst "aufschließen", denn es finden sich noch weitere HTML-Fragmente mit "Form POST"-Anweisungen, die anscheinend die MAC-Adresse setzen, Firmware aktualisieren oder einen "ProdUCE Burn-In" aktivieren.
 
/style.css
/prodUCE_burn.cgi
/register_debug.cgi
/bootcode_update.cgi)
 
; Das bekommt man schon heraus, ohne die CPU-Plattform zu können oder den Code zu dekompilieren.
 
; Aufgrund der "bekannten" Default Kennworte würde ich den Switch nicht in kritischen Umgebungen einsetzen, wenn jemand mit dem DebugUser" z.B. das Hauptkennwort ändern könnte und damit heimlich ein Mirroring aufsetzen könne.
* für ein Testfeld oder im SOHO-Bereich sind diese Risiken eher vernachlässigbar.
* Zumal Netgear schon früher anscheinend absichtlich Hintertüren in Router verbaut hat. (Siehe auhc https://de.wikipedia.org/wiki/Netgear#Spionage-Vorwürfe)
 
; Interessanter ist da eher die Abwärme, die einen Hinweis auf den Strombedarf sein kann.
* Weder Netzteil noch Switch wurden nennenswert warm.
* Wer mag, dann den Switch sogar aufschrauben.
* Viel ist aber wirklich nicht mehr drin.
* Anscheinend ist die gesamte "Elektrik" in ein paar Chips verschwunden.
* Auf der Rückseite ist auch ein Schalter für "Factory Default"
 
[[Image:Bild10.png|top]]
 
; Interessant ist natürlich schon, dass so eine Box samt Netzteil weniger kostet als ein Arduino Ethernet oder RasPi ohne Gehäuse und Netzteil.
* Wenn man von den 20€ netto noch den Vertrieb und Logistik abzieht, dann sprechen wir hier wirklich nur noch von minimalen Herstellungskosten.
 
; Da kann man dann doch mal drüber weg schauen, dass der Switch kein SNMP oder HTTP spricht und die Bandbreitensteuerung recht rudimentär ist.
 
[[Image:Bild11.png|top]]
 
; Auch QoS ist wohl eher ein Feigenblatt:
 
[[Image:Bild12.png|top]]
 
; Beides könnte aber reichen, um im Heimbereich z.B. eine DSL-Leitung etwas "fairer" den Teilnehmern zuzuweisen.
 
19,90€ netto zzgl. MwSt. Und Versand ist immer noch ganz wenig Geld für die gebotene Leistung, auch wenn die Sicherheit durch die Default Kennworte nicht ganz klar ist.
* für ein Test und Demo-Feld ist die gebotene Leistung mehr als ausreichend und Insbesondere die Mirror-Funktion ist für mich das Kaufkriterium gewesen, um mal schnell und unkompliziert einem VoIP-Endgerät auf die Finger zu schauen, wenn ich auf dem Gerät selbst nicht mit Debugtools arbeiten kann.
 
=== Bitte keinen Servicevertrag! ===
; Wenn Sie auf der Netgear-Webseite ihren kleinen GS105E registrieren wollen, z.B. Um über Updates informiert zu werden, dann könnten Sie ein durchaus lustiges Zusatzangebot sehen.
* Netgear bietet für den kleinen Switch tatsächlich 24x7 Support an.
* Allerdinge für einen Preis, für den Sie vermutlich sechs oder mehr Geräte selbst kaufen könnten.
 
[[Image:Bild13.png|top]]
 
; Hier ist dann ein "No Thanks" die bessere Antwort.
* Eine Info über eine neue Firmware habe ich aber nicht bekommen.
 
=== [https://www.msxfaq.de/tools/3rdparty/portmirroring.htm#weitere_links Weitere Links] ===
* [https://www.msxfaq.de/tools/3rdparty/ntop.htm NTOP]
* [https://www.msxfaq.de/tools/3rdparty/ntop.htm NTOP]
* [https://www.msxfaq.de/tools/mswin/netmon.htm NetMon 3]
* [https://www.msxfaq.de/tools/mswin/netmon.htm NetMon 3]
Zeile 242: Zeile 94:
* http://www.netscout.com/products/service_provider/nSAS/ngenius_switches/ngenius_1500_series/Pages/default.aspx
* http://www.netscout.com/products/service_provider/nSAS/ngenius_switches/ngenius_1500_series/Pages/default.aspx
* https://www.securityforrealpeople.com/2014/09/how-to-build-10-network-tap.html
* https://www.securityforrealpeople.com/2014/09/how-to-build-10-network-tap.html
; https://www.msxfaq.de/tools/3rdparty/portmirroring.htm
== Netzwerkanalyse mit SPANs und TAPs  ==
; Ein klassischer Protokoll-Analysator wie etwa Wireshark arbeitet als Software auf einem PC und ermittelt im Netzwerk relevante Probleme, Fehler und Ereignisse.
* Darüber hinaus tragen diese Werkzeuge zur Ermittlung der Ursachen einer schlechten Netzwerk-Performance bei, indem sie die individuellen Protokollinformationen und die zugehörigen Netzaktivitäten darstellen.
* Hierfür müssen die Daten in den Netzwerken erfasst werden.
* Dank SPANs und TAPs kein Problem.
; In geswitchten Netzen werden die für die Datenanalyse notwendigen Daten nicht an jeden Port übertragen.
* Ein Switch leitet nur Broadcasts und Pakete mit unbekannten Empfängeradressen an alle Ports weiter.
* Hat dieser die MAC-Adresse des Empfängers in seiner Switch-Tabelle, werden die betreffenden Pakete nur an den Port des Zielgeräts gesendet.
* Dies erfordert neue Suchstrategien zur Fehleranalyse.
=== SPANs ===
; Aus diesem Grund unterstützen die meisten Switche die Spiegelung von Switch-Ports mit Hilfe der Mirror-Port-Funktion.
* Dadurch wird der jeweils zu untersuchende Link auf einen anderen Port des Switches, an dem der Analysator angeschlossen ist, gespiegelt.
* Einige Hersteller sind dabei sogar in der Lage, den Verkehr mehrerer Switch-Ports auf einem Mirror-Port auszugeben.
* Der Mirror-Port wird auch als SPAN-Port (Switch Port ANalyser) oder Maintenance-Port bezeichnet.
; Die Weiterleitung der zu analysierenden Daten auf den Mirror-Port sollten Sie nur nutzen, wenn dieser die Datenmengen der gespiegelten Ports auch verkraftet.
* Ist dies nicht der Fall, gehen Pakete verloren.
* Auf der sicheren Seite sind Sie, wenn der Spiegel-Port dieselbe Bandbreite aufweist wie der Quell-Port.
* Darüber hinaus beeinträchtigt das Mirroring die Switch-Performance, da der Switch für die Spiegelung alle Pakete duplizieren muss
; Auch der gespiegelte Port kann in seiner Performance einbrechen und die Fehlersuche produziert erst wirklich Probleme.
* Zum anderen verzerrt das Port-Mirroring die Analyse, weil ein Switch defekte Pakete automatisch verwirft.
* Daher werden SPAN-Ports in der Praxis nur als ergänzende Messstellen für Ad-hoc-Analysen genutzt.
=== TAPs ===
; Für die genaue Erfassung der Messdaten kommen heute Test Access Points (TAPs) (oder auch Link-Splitter genannt) zum Einsatz.
* Diese Geräte werden direkt in die zu überwachende Netzverbindung eingeschleift.
* TAPs arbeiten absolut passiv und erzeugen keine Fehler und funktionieren auch bei einem Stromausfall.
; Ein TAP dupliziert (hochohmige Anschaltung) alle Pakete und erzeugt aus einem Vollduplex-Link zwei Halbduplex-Datenströme mit dem Rx- und dem Tx-Verkehr.
* Dadurch muss der Netzanalysator mit zwei Netzwerkkarten ausgerüstet sein.
* Die Analysesoftware fügt die beiden Ströme anschließend wieder zu einem Trace zusammen.
; Die TAPs werden in Reihe in eine Netzwerkverbindung (Kupfer, Glas) eingeschleift.
* Dadurch ist sichergestellt, dass alle Pakete (auch fehlerhafte) der Analyse beziehungsweise dem Monitoring zugeführt werden.
* Durch komplexe Filterfunktionen können diese Werkzeuge die Anwendungsleistung erheblich verbessern und nur relevante Verkehrsflüsse weiterleiten.
* Besonders durch den Einsatz von High Speed-Verbindungen (10 GBit/s, 40 GBit/s oder höher) explodieren die Kosten der Verkehrsanalyse.
; Tritt ein Fehler im TAP auf, überbrückt ein Relais den TAP und sorgt dafür, dass im Ruhezustand die zu messende Verbindung auf jeden Fall erhalten bleibt.
* Ein Verbindungsabbruch in der Hauptstrecke tritt nicht auf beziehungsweise wird auf der Transportschicht kompensiert.
; https://www.it-administrator.de/article-203944
== Port-Mirroring ==
; Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port).
* So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie in Abbildung 2-8 dargestellt.
[[Image:Bild14.png|top|alt="Bild :Datenverkehr auslesen mittels Port-Mirroring"]]
; Bild :Datenverkehr auslesen mittels Port-Mirroring
; Der verwendete Switch muss hierzu Port-Mirroring unterstützen.
* Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen.
* Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
* Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen.
* Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen.
* Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen.
* Es können nur Daten erfasst werden, die den Switch durchlaufen.
* Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können.
* Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden.
[https://www.profinet.felser.ch/port-mirroring.html https://www.profinet.felser.ch/port-mirroring.html]
== Port mirroring ==
; Port mirroring is used on a [https://en.wikipedia.org/wiki/Network_switch network switch] to send a copy of [https://en.wikipedia.org/wiki/Computer_network network] [https://en.wikipedia.org/wiki/Packet_(information_technology) packets] seen on one switch [https://en.wikipedia.org/wiki/Port_(computer_networking) port] (or an entire [https://en.wikipedia.org/wiki/VLAN VLAN]) to a [https://en.wikipedia.org/wiki/Network_monitoring network monitoring] connection on another switch port.
* This is commonly used for network appliances that require monitoring of network traffic such as an [https://en.wikipedia.org/wiki/Intrusion_detection_system intrusion detection system], [https://en.wikipedia.org/w/index.php?title=Passive_probing&action=edit&redlink=1 passive probe] or [https://en.wikipedia.org/wiki/Real_user_monitoring real user monitoring] (RUM) technology that is used to support [https://en.wikipedia.org/wiki/Application_performance_management application performance management] (APM).
* Port mirroring on a [https://en.wikipedia.org/wiki/Cisco_Systems Cisco Systems] switch is generally referred to as Switched Port Analyzer (SPAN) or Remote Switched Port Analyzer (RSPAN).
* Other vendors have different names for it, such as Roving Analysis Port (RAP) on [https://en.wikipedia.org/wiki/3Com 3Com] switches.
; Network engineers or administrators use port mirroring to analyze and [https://en.wikipedia.org/wiki/Debugging debug] data or diagnose errors on a network.
* It helps administrators keep a close eye on network performance and alerts them when problems occur.
* It can be used to mirror either inbound or outbound traffic (or both) on single or multiple [https://en.wikipedia.org/wiki/Network_interface_controller interfaces].
=== See also ===
* [https://en.wikipedia.org/wiki/VLAN_access_control_list VLAN access control list] (VACL)
=== External links ===
* [http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml Cisco Systems - Catalyst Switched Port Analyzer (SPAN) Configuration Example]
* [http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml Cisco Systems - Catalyst Switched Port Analyzer (SPAN) Configuration Example]
* [http://searchnetworking.techtarget.com/definition/port-mirroring Port mirroring (roving analysis port)] - TechTarget, 2014
* [http://searchnetworking.techtarget.com/definition/port-mirroring Port mirroring (roving analysis port)] - TechTarget, 2014
* [https://www.techopedia.com/definition/16134/port-mirroring Port Mirroring] - Technopedia
* [https://www.techopedia.com/definition/16134/port-mirroring Port Mirroring] - Technopedia
* https://www.msxfaq.de/tools/3rdparty/portmirroring.htm


[https://en.wikipedia.org/wiki/Port_mirroring https://en.wikipedia.org/wiki/Port_mirroring]
[[Kategorie:Switch]]
 
[[Kategorie:Netzwerk/L2/Port]]
== Port Mirroring: Ist ein TAP wirklich besser als ein SPAN Port? ==
; Jedem Informatiker mit Netzwerkkenntnissen ist die Diskussion über die Vor- und Nachteile zwischen TAPs (Test Access Points) und Mirror Ports (Port Spiegelung) bekannt.
* Sind TAPs wirklich das einzige Mittel, um Sichtbarkeit im Netzwerk zu gewähren? Wir führen verschiedene Argumente für beide Seiten ins Feld und ziehen ein Fazit.
 
; SPAN Ports (Switch Port ANalyser) und TAPs dienen dazu, Netzwerkverkehr zu spiegeln und an Out-of-Band-Tools wie Intrusion-Detection-Systeme, Netzwerkrekorder oder Netzwerkanalyse-Tools zu senden.
* Bei einem SPAN Port handelt es sich um einen dedizierten Port auf einem verwalteten Switch, um Kopien von Netzwerkpaketen an dort angeschlossene Tools zu senden.
* Dem gegenüber ist ein TAP ein dediziertes Gerät, um Netzwerkverkehr passiv aufzuteilen.
* TAPs spiegeln Netzwerkverkehr in Echtzeit und auf getrennten Kanälen in beiden Richtungen.
 
=== SPAN Port ===
; Argumente für SPAN Ports sind schnell abgehandelt:
* Geringe Kosten, da vorhandene Hardware genutzt wird.
* Fernkonfigurierbar über das Netzwerk.
* Optimal, um mehrere Geräte „mal eben“ mit einem Notebook zu überwachen.
 
; Ebenso sind Nachteile übersichtlich:* Verwirft Pakete auf stark beanspruchten Vollduplex-Verbindungen.
* Eine Überbuchung beeinträchtigt zusätzlich das Timestamping, wodurch Antwortzeiten verfälscht und dementsprechend eine Analyse zusätzlich erschwert werden.
* Filtert Fehler der physikalischen Schicht heraus.
* Das Kopieren der Pakete belastet die CPU des Switches.
* SPAN Ports sind im Vergleich zu der Anzahl der Ports, die möglicherweise überwacht werden müssen, in ihrer Anzahl begrenzt und verbrauchen Ports, die andernfalls den produktiven Netzwerkverkehr übertragen würden.
 
; SPAN-Ports eignen sich daher besser für Situationen, in denen verloren gegangene Pakete die Netzwerkanalyse nicht beeinträchtigen und in denen Kosten eine Rolle spielen.
* Um „mal eben“ einen Drucker und drei Rechner zu überwachen, eignen sich SPAN Ports somit hervorragend.
 
=== TAP ===
; TAPs erfassen den gesamten bidirektionalen Verkehr, spiegeln diesen jeweils auf einen separaten Kanal und verwerfen keine Pakete.
* Damit bieten TAPs 100% Sichtbarkeit.
* Passive TAPs benötigen keinen Strom und werden vor allem in Glasfasernetzwerken verwendet, wo das eintreffende Licht so aufgeteilt wird, dass 100% des Verkehrs auf den gespiegelten Fasern zu sehen sind.
* Kupfer-Ethernet-TAPs benötigen zwar Strom, verfügen jedoch häufig über eine ausfallsichere Bypass-Technologie, die das Risiko von Service-Unterbrechungen im Falle eines Stromausfalls eliminiert.
 
; Die Vorteile von TAPs lassen sich wie folgt zusammenfassen:* TAPs spiegeln oder kopieren bidirektionale Datenströme gleichzeitig und sind von Bandbreiten und Auslastung unabhängig, wodurch das Risiko von Paketverlust vollständig eliminiert wird.
* TAPs bieten volle Transparenz in Vollduplex-Netzwerken.
* Erfasst alle Pakete (auch physische Fehler) und sind damit Protokollunabhängig
 
; Die Verwendung von TAPs erfordert allerdings finanzielle Mittel für Kauf und Einbau.
 
=== Fazit ===
; Einfach zusammengefasst: TAPs sind eine Schlüsselkomponente und sollten in jedem System eingesetzt werden, das 100%ige Sichtbarkeit und Verlässlichkeit erfordert.
* In Netzwerkumgebungen mit mittlerer bis hoher Auslastung ist es empfehlenswert, TAPs einzusetzen.
* Hierbei gilt zu beachten, dass die Installation eines TAP in eine bestehende Netzwerkverbindung eine kurze Kabeltrennung erfordert, sodass TAPs in der Regel während eines Wartungsfensters installiert werden sollten.
* TAPs bereits in Planungsphasen für neue Netzwerke zu berücksichtigen reduziert Ausfälle und bietet 100%ige Sichtbarkeit des Netzwerkverkehrs.
 
; Für Ad-hoc-Überwachungen und Analysen mit geringen Datenmengen eigenen sich dagegen SPAN Ports am besten.
 
; Es besteht kein Zweifel daran, dass sowohl TAPs als auch SPAN Ports bei ''korrekter'' Verwendung Sichtbarkeit auf den Netzwerkverkehr bieten können.
* Daher können wir folgenden Merksatz formulieren: TAPs sollten verwendet werden, wo die Anforderungen an die Infrastruktur es rechtfertigen und SPAN Ports, wenn es nicht anders möglich ist.


[https://www.magellan-net.de/de/aktuelles/blog/details/port-mirroring-ist-ein-tap-wirklich-besser-als-ein-span-port/ https://www.magellan-net.de/de/aktuelles/blog/details/port-mirroring-ist-ein-tap-wirklich-besser-als-ein-span-port/]
</noinclude>

Aktuelle Version vom 2. Februar 2024, 02:11 Uhr

Port Mirroring - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport

Beschreibung

Motivation
  • Verhalten von Endgeräte untersuchen
Möglichkeiten
  • Port Mirroring am Switch
  • Netwerk-Tap

Problematik

Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will
  • Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach
  • Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann
Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten, die auf einem Port raus- und reingehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
  • So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.
Einsatzbereich

Analyse von Endgeräten

  • Ich schaue schon mal gerne einem VoIP-Telefon auf die Finger
  • in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen
  • Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant
Verkehrsdatenerfassung
  • Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. unterstützt, dann ist es durchaus eine Option, die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z. B.  mit NTOP o.ä. Fehlersuche
  • Generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen
  • Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht, aber nicht, was letztlich auf dem Kabel landet
  • Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden
  • Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat
  • Das war in NETMON auf dem absendenden Server nicht zu sehen
Das Problem der großen Switches ist aber, dass sie ein groß sind und damit eher stationär eingesetzt werden
  • Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen
  • Zudem sind solche Switches in der Regel etwas teurer

Port-Spiegelung

Port Mirroring wird auf einem Netzwerk-Switch verwendet, um eine Kopie von Netzwerk- [1], die auf einem Switch-[2] (oder einem gesamten VLAN) gesehen werden, an eine Netzwerküberwachung-Verbindung auf einem anderen Switch-Port zu senden.

  • Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z. B.  ein Intrusion Detection System, Passive Probe oder Real User Monitoring (RUM) Technologie, die zur Unterstützung von Application Performance Management (APM) verwendet wird.
  • Port Mirroring auf einem Cisco Systems Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
  • Andere Hersteller haben andere Bezeichnungen dafür, z. B.  Roving Analysis Port (RAP) auf 3Com-Switches.

Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und debug oder Fehler in einem Netzwerk zu diagnostizieren.

  • Es hilft Administratoren, die Netzwerkleistung genau im Auge zu behalten und alarmiert sie, wenn Probleme auftreten.
  • Es kann verwendet werden, um entweder eingehenden oder ausgehenden Datenverkehr (oder beides) auf einer oder mehreren Schnittstellen zu spiegeln.
  1. https://en.wikipedia.org/wiki/Port_mirroring

Port-Mirroring

Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port)
  • So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie dargestellt

"Bild :Datenverkehr auslesen mittels Port-Mirroring"

Bild
Datenverkehr auslesen mittels Port-Mirroring
Der verwendete Switch muss hierzu Port-Mirroring unterstützen
  • Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen
  • Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
  • Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen
Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen
  • Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen
  • Es können nur Daten erfasst werden, die den Switch durchlaufen
  • Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können
  • Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden


Anhang

Siehe auch


Links

Weblinks