2.2 Metody a místa pro zachytávání provozu

Abychom mohli síťový provoz analyzovat, musíme se nejprve dostat k bodu, kudy pakety protékají. Zachytávat provoz můžeme na různých typech síťových prvků, což má přímý vliv na to, jaká data získáme.

Topologie a zařízení: Kde snifovat?

Možnosti připojení a jejich omezení

Na koncovém uzlu (Endpoint / Network interface): Zachytáváme provoz přímo na síťové kartě počítače. Získáme kompletní kontext (např. korelaci procesů a uživatelů), ale viditelnost je omezená pouze na daný uzel a zprávy všesměrového vysílání (broadcast/multicast). Zbytek sítě nevidíme.
Na hubu (rozbočovači): Huby replikují veškerá data na všechny porty, jedná se o sdílené médium. Lze tedy jednoduše pasivně zachytávat komunikaci všech připojených uzlů. Dnes jsou však huby zastaralé a nepoužívají se.
Na switchi (přepínači): Switch doručuje pakety chytře pouze na port odpovídající cílovému příjemci. Pokud se na něj připojíme, uvidíme běžně pouze vlastní provoz a broadcast/multicast. Pro zachycení cizího provozu musíme použít jiný přístup (zrcadlení, TAPy, nebo aktivní útoky jako ARP spoofing).

Promiskuitní režim (Promiscuous mode)

Režim síťové karty (NIC), ve kterém karta nefiltruje příchozí provoz podle své MAC adresy, ale zpracovává a předává operačnímu systému všechny rámce, které fyzicky zachytí na lince. Je to základní předpoklad pro to, aby na daném zařízení mohl fungovat sniffer pro analýzu cizí síťové komunikace.

Techniky pro monitoring přepínaných sítí

V moderních podnikových sítích využíváme pro získání přístupu k provozu legitimní techniky správy sítě: Zrcadlení portů (Port Mirroring) a síťové TAPy (Terminal Access Points).

Zrcadlení portů (Switch mirroring)

Switch vytvoří kopii paketů z jednoho či více zdrojových portů a odešle je na určený cílový port, kde je připojen analytický nástroj.

SPAN (Switched Port Analyzer): Zrcadlení provozu v rámci jednoho fyzického switche. Vhodné pro lokální odstraňování problémů.
RSPAN (Remote SPAN): Přenáší zrcadlený provoz přes více switchů pomocí vyhrazené sítě VLAN v rámci jedné L2 domény.
ERSPAN (Encapsulated Remote SPAN): Zapouzdřuje zrcadlené toky do protokolu GRE, čímž umožňuje jejich přenos skrz síťovou vrstvu L3 (přes routery) až k centralizovaným kolektorům.

Omezení zrcadlení

Zrcadlením portů může dojít k přetížení cílového portu a k zahazování paketů. Některé L2 řídicí rámce se ve výchozím stavu nezrcadlí a dochází ke změně zpoždění a rozptylu zpoždění (jitter), což může zkreslit analýzu citlivou na časování.

Síťové TAPy (Terminal Access Points)

TAPs jsou hardwarová zařízení, která se fyzicky vloží mezi dva síťové body a bezztrátově kopírují procházející provoz. Jsou preferovány pro forenzní analýzu a IDS (Intrusion Detection Systems).

Pasivní optické TAPy: Fyzicky rozdělují světelný signál.
Aktivní TAPy: Běžné u měděných kabelů, signál regenerují. Nabízí funkce fail-open/fail-safe, ale vyžadují napájení.
Agregační a replikační TAPy / Packet brokers: Slučují plně duplexní přenosy (Rx/Tx) nebo z více zdrojů, filtrují je, replikují datové toky a poskytují je různým nástrojům (IDS, DLP, forenzním systémům).

Virtuální a cloudové prostředí (Virtual/cloud fabrics)