Un grifo de red es un sistema que monitorea eventos en una red local. Un grifo suele ser un dispositivo de hardware dedicado que proporciona una forma de acceder a los datos que fluyen a través de una red informática .
La toma de red tiene (al menos) tres puertos: un puerto A , un puerto B y un puerto de monitor . Un grifo insertado entre A y B pasa todo el tráfico (envío y recepción de flujos de datos) sin obstáculos en tiempo real, pero también copia esos mismos datos a su puerto de monitor, lo que permite que un tercero escuche.
Los grifos de red se utilizan comúnmente para sistemas de detección de intrusiones en la red , grabación VoIP , sondas de red, sondas RMON , rastreadores de paquetes y otros dispositivos y software de monitoreo y recopilación que requieren acceso a un segmento de red . Los taps se utilizan en aplicaciones de seguridad porque no son intrusivos, no son detectables en la red (no tienen dirección física o lógica), pueden manejar redes full-duplex y no compartidas y, por lo general, atravesarán o evitarán el tráfico incluso si el grifo deja de funcionar o pierde potencia.
El término intervención de red es análogo a intervención telefónica o intervención vampírica . Algunos proveedores definen TAP como un acrónimo de punto de acceso de prueba o punto de acceso de terminal; sin embargo, esos son retrorónimos .
El tráfico monitoreado a veces se denomina tráfico de paso , mientras que los puertos que se utilizan para el monitoreo son los puertos de monitoreo . También puede haber un puerto de agregación para tráfico full-duplex, en el que el tráfico A se agrega con el tráfico B, dando como resultado un flujo de datos para monitorear la comunicación full-duplex. Los paquetes deben alinearse en un solo flujo utilizando un algoritmo de tiempo de llegada.
Los proveedores tenderán a utilizar términos en su marketing como ruptura , pasivo , agregación , regeneración , derivación, activo, energía en línea y otros; Desafortunadamente, los proveedores no utilizan estos términos de manera consistente. Antes de comprar cualquier producto, es importante comprender las funciones disponibles y consultar con los proveedores o leer atentamente la literatura del producto para descubrir cómo los términos de marketing se corresponden con la realidad. Todos los "términos de proveedores" son comunes dentro de la industria, tienen definiciones reales y son puntos valiosos a considerar al comprar un dispositivo de grifo.
Un grifo distribuido es un conjunto de grifos de red que informan a un sistema de monitoreo centralizado o analizador de paquetes .
Existen varios métodos para monitorear una red. Se pueden utilizar muchos métodos de escucha, según la tecnología de la red, el objetivo de monitoreo, los recursos disponibles y el tamaño de la red objetivo. A continuación se desarrollarán varios métodos.
Este tipo de tapping se centra en el tapping haciendo uso de software y sin realizar ningún cambio significativo en el hardware de la infraestructura. Este tipo de intervención suele ser el más económico de implementar, pero necesita varias implementaciones para brindar una apariencia verdaderamente completa de la red.
El tipo de monitoreo más simple es iniciar sesión en un dispositivo interesante y ejecutar programas o comandos que muestren estadísticas de rendimiento y otros datos. Esta es la forma más económica de monitorear una red y es muy apropiada para redes pequeñas. Sin embargo, no se adapta bien a redes grandes. También puede afectar la red que se está monitoreando; ver efecto observador .
Otra forma de monitorear dispositivos es utilizar un protocolo de administración remota como SNMP para preguntar a los dispositivos sobre su rendimiento. Esto se adapta bien, pero no es necesariamente apropiado para todos los tipos de seguimiento. Los problemas inherentes al SNMP son el efecto de sondeo. Muchos proveedores han aliviado esto mediante el uso de programadores de sondeo inteligentes, pero esto aún puede afectar el rendimiento del dispositivo que se está monitoreando. También abre una serie de posibles problemas de seguridad.
Otro método para monitorear redes es usar la duplicación de puertos (llamada "SPAN", para Switched Port Analyzer, por proveedores como Cisco, [1] y con otros nombres, como telemetría MLXe de Brocade Communications y otros proveedores) (también conocido como MIRROR puerto) o un protocolo de monitoreo como TZSP en enrutadores y conmutadores . Esta es una alternativa de bajo costo a los grifos de red y resuelve muchos de los mismos problemas. Sin embargo, no todos los enrutadores y conmutadores admiten la duplicación de puertos y, en aquellos que sí lo hacen, el uso de la duplicación de puertos puede afectar el rendimiento del enrutador o conmutador. Estas tecnologías también pueden estar sujetas al problema con full-duplex descrito en otra parte de este artículo y, a menudo, existen límites para el enrutador o conmutador en cuanto a cuántas sesiones de transferencia se pueden monitorear o cuántos puertos de monitoreo (generalmente dos) se pueden monitorear. monitorear una sesión determinada. A menudo, cuando el puerto SPAN está sobrecargado, los paquetes se descartarán antes de llegar al dispositivo de monitoreo. También existe la posibilidad de perder algunos de los paquetes de error que pueden estar causando problemas. Si estos datos no se envían al dispositivo de monitoreo porque se cayó, es imposible solucionar el problema, sin importar cuán avanzado sea el dispositivo que se utilice.
Este método de tapping consiste en habilitar el modo promiscuo en el dispositivo que se utiliza para el monitoreo y conectarlo a un concentrador de red . Esto funciona bien con tecnologías LAN más antiguas como 10BASE2 , FDDI y Token Ring . En dichas redes, cualquier host puede ver automáticamente lo que estaban haciendo todos los demás hosts habilitando el modo promiscuo. Sin embargo, las modernas tecnologías de redes conmutadas crean enlaces punto a punto entre pares de dispositivos, lo que hace imposible aprovechar el tráfico de la red con este método.
Este tipo de roscado se centra en el roscado con notable uso de hardware.
Este método consiste en la instalación de un dispositivo entre un cable de red y el dispositivo que el Administrador/Atacante desea "pinchar". Cuando se instala un dispositivo de monitoreo en línea, la red se detendrá cada vez que el dispositivo falle o se apague. El dispositivo "víctima" podría dejar de recibir tráfico cuando el dispositivo de escucha se actualiza o reinicia si dichos mecanismos no estuvieran integrados de manera inteligente (es decir, eso evitaría que esto suceda).
Algunos grifos, en particular los de fibra , no utilizan energía ni ningún componente electrónico para el paso y el seguimiento del tráfico de la red. Esto significa que el grifo nunca debe sufrir ningún tipo de fallo electrónico o corte de energía que provoque una pérdida de conectividad de red. Una forma en que esto puede funcionar, para las tecnologías de red basadas en fibra, es que el grifo divide la luz entrante utilizando un aparato físico simple en dos salidas, una para el paso y otra para el monitor . A esto se le puede llamar grifo pasivo . Otros grifos no usan energía ni electrónica para el paso , pero sí usan energía y electrónica para el puerto del monitor . Estos también pueden denominarse pasivos .
V-Line Tapping es el método de sistema de roscado más importante. V-Line Tapping (también conocido como Bypass Tapping) permite colocar el sistema servido prácticamente en línea. Poner este dispositivo en línea comprometerá la integridad de una red crítica. Al colocar un sistema Tapping en lugar del dispositivo de monitoreo y conectar el dispositivo de monitoreo al sistema Tapping, se puede garantizar que el tráfico continuará fluyendo y el dispositivo no creará un punto de falla en la red. [2] Este método siempre pasa todos los paquetes, incluso los paquetes de error que un puerto SPAN puede descartar, al dispositivo de monitoreo. Este método implica el uso de software espía en la máquina de destino. Para un administrador de sistemas, este tipo de solución es la más fácil de implementar y la más rentable; Sin embargo, para un atacante, este tipo de intervención es muy arriesgado, ya que es fácilmente detectable mediante análisis del sistema. El sistema de escucha se eliminará después de reiniciar si el software espía se instaló de forma no persistente en un sistema que ejecuta Live-OS .
Las tecnologías de red modernas suelen ser full-duplex , lo que significa que los datos pueden viajar en ambas direcciones al mismo tiempo. Si un enlace de red permite que fluyan 100 Mbit/s de datos en cada dirección al mismo tiempo, esto significa que la red realmente permite 200 Mbit/s de rendimiento agregado . Esto puede presentar un problema para las tecnologías de monitoreo si solo tienen un puerto de monitor. Por lo tanto, las derivaciones de red para tecnologías full-duplex suelen tener dos puertos de monitor, uno para cada mitad de la conexión. El oyente debe utilizar la vinculación de canales o la agregación de enlaces para fusionar las dos conexiones en una interfaz agregada para ver ambas mitades del tráfico. Otras tecnologías de monitoreo, como los TAP de redes de fibra pasiva, no manejan bien el tráfico full-duplex.
Una vez que se coloca una toma de red, la red se puede monitorear sin interferir con la red misma. Otras soluciones de monitoreo de red requieren cambios dentro de banda en los dispositivos de red, lo que significa que el monitoreo puede afectar los dispositivos que se están monitoreando. Este escenario es para herramientas de seguridad activas en línea, como firewalls de próxima generación, sistemas de prevención de intrusiones y firewalls de aplicaciones web.
Una vez que se coloca un grifo, se puede conectar un dispositivo de monitoreo según sea necesario sin afectar la red monitoreada.
Algunas derivaciones tienen múltiples puertos de salida, o múltiples pares de puertos de salida para full-duplex, para permitir que más de un dispositivo monitoree la red en el punto de derivación. A menudo se les llama grifos de regeneración .
Algunas derivaciones operan en la capa física del modelo OSI en lugar de en la capa de enlace de datos . Por ejemplo, funcionan con fibra multimodo en lugar de 1000BASE-SX . Esto significa que pueden funcionar con la mayoría de las tecnologías de redes de enlace de datos que utilizan esos medios físicos, como ATM y algunas formas de Ethernet. Los grifos de red que actúan como divisores ópticos simples , a veces llamados grifos pasivos (aunque ese término no se usa de manera consistente) pueden tener esta propiedad.
Algunos grifos de red ofrecen tanto duplicación del tráfico de red para dispositivos de monitoreo como servicios SNMP. La mayoría de los principales fabricantes de grifos de red ofrecen grifos con gestión remota a través de interfaces Telnet, HTTP o SNMP. Estos híbridos de red pueden resultar útiles para los administradores de redes que deseen ver estadísticas de rendimiento de referencia sin desviar las herramientas existentes. Alternativamente, las alarmas SNMP generadas por grifos administrados pueden alertar a los administradores de red para que vinculen las condiciones que merecen ser examinadas por analizadores con los sistemas de detección de intrusos.
Algunas derivaciones obtienen parte de su energía (es decir, para el paso ) o toda su energía (es decir, tanto para el paso como para el monitor ) de la propia red. A estos se les puede denominar energía en línea .
Algunos toques también pueden reproducir errores de red de bajo nivel, como fotogramas cortos, CRC incorrecto o datos corruptos.
Estas son algunas de las ventajas de una toma de red sobre la duplicación de puertos o SPAN:
Debido a que los grifos de red requieren hardware adicional, no son tan baratos como las tecnologías que utilizan capacidades integradas en la red. Sin embargo, los grifos de red son más fáciles de administrar y normalmente proporcionan más datos que algunos dispositivos de red.
Las tomas de red pueden requerir la vinculación de canales en los dispositivos de monitoreo para solucionar el problema con full-duplex discutido anteriormente. Los proveedores también suelen referirse a esto como agregación.
La instalación de un grifo de red interrumpirá la red que se está supervisando durante un breve periodo de tiempo. [3] Aun así, es preferible una interrupción breve a desconectar una red varias veces para implementar una herramienta de monitoreo. Se recomienda establecer buenas pautas para la colocación de grifos de red.
Monitorear redes grandes mediante grifos de red puede requerir muchos dispositivos de monitoreo. Los dispositivos de red de alta gama a menudo permiten habilitar puertos como puertos espejo , lo cual es un grifo de red de software. Si bien cualquier puerto libre se puede configurar como puerto espejo, los grifos de software requieren configuración y cargan los dispositivos de red.
Incluso los grifos de red totalmente pasivos introducen nuevos puntos de fallo en la red. Hay varias formas en que los grifos pueden causar problemas y esto se debe considerar al crear una arquitectura de grifo. Considere derivaciones sin alimentación para entornos solo ópticos o derivaciones de red en estrella para cobre 100BASE-TX . Esto le permite modificar los grifos de agregación inteligente que pueden estar en uso y evita complicaciones al actualizar de 100 megabit a gigabit a 10 gigabit. Se recomienda encarecidamente el uso de fuentes de alimentación redundantes .
Totalmente pasivo sólo es posible en conexiones ópticas de cualquier ancho de banda y en conexiones de cobre del tipo G703 (2 Mbit) y Ethernet Base-T 10/100 Mbit. En las conexiones Gigabit y 10 Gbit Base-T, actualmente no es posible la escucha pasiva.
Las contramedidas para las escuchas en la red incluyen sistemas de cifrado y alarma. El cifrado puede hacer que los datos robados sean ininteligibles para el ladrón. Sin embargo, el cifrado puede ser una solución costosa y también existen preocupaciones sobre el ancho de banda de la red cuando se utiliza.
Otra contramedida es implementar un sensor de fibra óptica en la canalización, conducto o cable armado existente. En este escenario, el sistema de alarma detecta a cualquiera que intente acceder físicamente a los datos (infraestructura de cobre o fibra). Un pequeño número de fabricantes de sistemas de alarma ofrecen una forma sencilla de monitorear la fibra óptica para detectar perturbaciones por intrusión física. También existe una solución comprobada que utiliza fibra oscura (no utilizada) existente en un cable de varios hilos con el fin de crear un sistema de alarma.
En el escenario del cable alarmado, el mecanismo de detección utiliza interferometría óptica en la que la luz coherente modalmente dispersiva que viaja a través de la fibra multimodo se mezcla en el extremo de la fibra, lo que da como resultado un patrón característico de manchas claras y oscuras llamado moteado. La mancha láser es estable mientras la fibra permanece inmóvil, pero parpadea cuando la fibra vibra. Un sensor de fibra óptica funciona midiendo la dependencia temporal de este patrón de moteado y aplicando procesamiento de señal digital a la Transformada Rápida de Fourier (FFT) de los datos temporales.
El gobierno de Estados Unidos ha estado preocupado por la amenaza de escuchas durante muchos años, y también le preocupan otras formas de intrusión física intencional o accidental. En el contexto de las redes de información clasificada del Departamento de Defensa (DOD), los Sistemas de Distribución Protegidos (PDS) son un conjunto de instrucciones y pautas militares para la protección física de la red. PDS se define como un sistema de portadores (canalizaciones, conductos, ductos, etc.) que se utilizan para distribuir Información de Seguridad Nacional y Militar (NSI) entre dos o más áreas controladas o desde un área controlada a través de un área de menor clasificación (es decir, , fuera del SCIF u otro ámbito similar). La Instrucción de Seguridad de Sistemas de Información y Telecomunicaciones de Seguridad Nacional (NSTISSI) No. 7003, Sistemas de Distribución de Protección (PDS), proporciona orientación para la protección de líneas de cable SIPRNET y PDS de fibra óptica para transmitir Información de Seguridad Nacional (NSI) clasificada sin cifrar.
La señal 1000BASE-T utiliza modulación PAM 5, lo que significa que cada par de cables transporta 5 bits simultáneamente en ambas direcciones. Los chips PHY en cada extremo del cable tienen una tarea muy compleja entre manos, porque deben separar las dos señales entre sí. Esto sólo es posible porque conocen su propia señal, por lo que pueden deducir sus propias señales de envío de las señales mixtas en la línea y luego interpretar la información enviada por sus socios de enlace.
Para conectar un enlace de cobre como se muestra en la imagen de arriba, no es posible conectar simplemente el centro del cable porque todo lo que verá es una modulación compleja de dos señales. La única forma de terminar la señal (como se muestra en la imagen) es usar un chip PHY para separar la señal y luego enviarla al socio del enlace. Esta solución funciona pero causa algunos otros problemas.