Почему порты SPAN могут нарушить безопасность сети и почему сетевые адаптеры являются разумной альтернативой

Сетевая безопасность – это не только защита от хакеров, но и обеспечение прозрачности каждого пакета, проходящего через вашу цифровую инфраструктуру. Многие ИТ-команды, в частности команды NOC, предпочитают использовать порты SPAN (Switch Port Analyzer), потому что они кажутся удобными и экономически эффективными – но удобство может обойтись слишком дорого, когда пакеты начинают теряться и безопасность оказывается под угрозой. Давайте рассмотрим ограничения портов SPAN, почему они не работают и когда вместо них следует использовать сетевые TAP (тестовые точки доступа). 

Обратная сторона портов SPAN: Риски и ограничения 

На первый взгляд порты SPAN кажутся быстрым решением проблемы. Однако их недостатки делают их менее подходящими для современных сетей с высоким спросом. Вот почему: 

• SPAN занимает ценные порты: Ценные порты коммутатора лучше использовать для реального сетевого трафика, а не для мониторинга. 
• Ограничения старого оборудования: Некоторые старые коммутаторы даже не имеют портов SPAN. 
• Пропавшие пакеты: Пожалуй, самая большая проблема – порты SPAN часто теряют пакеты, особенно при избыточной подписке.   

Одна из основных причин, по которой команды SOC избегают портов SPAN, — потеря пакетов, которая часто происходит при перегрузке или нагрузке на порт. В виртуализированных средах использование трафика может резко возрастать из-за динамичности кратковременных потоков в трафике Восток-Запад, возникающих при запуске новых сервисов, контейнеров и виртуальных машин, работающих на мощных серверных интерфейсах объемом 10, 25 или 50 Гб. С другой стороны, даже в средах операционных технологий (OT), работающих на скорости 10 МБ, 100 МБ или 1 ГБ, потеря пакетов является распространенным риском.   

Почему порты SPAN теряют пакеты? 

1. Нехватка памяти: Ограниченное буферное пространство может привести к потере пакетов.
2. Атаки на кадр «PAUSE»: Злоумышленники могут использовать порты SPAN, наводняя их сигналами обратной связи, скрывая вредоносные данные и заставляя легитимные пакеты пропадать.
3. Нарушенная циклическая проверка избыточности (CRC): Пакеты с ошибками CRC автоматически отбрасываются.
4. Проблемы с размером кадра: Кадры меньше 64 байт или больше максимального блока передачи (MTU) jumbo-кадров могут быть потеряны.

А если этого недостаточно, подумайте о дополнительных проблемах: 

• Поврежденные пакеты игнорируются: Порты SPAN не будут пересылать поврежденные пакеты или ошибки, что может скрыть признаки атак.
• Дублирование пакетов: При мониторинге нескольких виртуальных локальных сетей дублирование пакетов может сбить с толку аналитические инструменты.
• Изменения времени: Порты SPAN могут изменять время взаимодействия кадров, что искажает анализ времени отклика.

Реальный риск безопасности: уязвимости портов SPAN 

Помимо технических недостатков, порты SPAN создают уязвимости в системе безопасности: 

• Риски двунаправленного трафика: Порты SPAN могут непреднамеренно пропускать трафик обратно в сеть, подвергая коммутаторы потенциальным атакам.
• Повышенные административные расходы: Конфигурации портов SPAN требуют постоянного обслуживания и корректировки, что может потребовать значительных ресурсов.

Добавление сетевых TAPs: Золотой стандарт контроля пакетов 

Для надежного решения мониторинга пакетов сетевые TAP являются лучшим в отрасли решением. Вот почему они превосходят порты SPAN: 

• Точное дублирование трафика: TAP создают 100% точную, полнодуплексную копию сетевого трафика без изменения данных.
• Никаких потерь пакетов: В отличие от портов SPAN, TAP не отбрасывают пакеты – они передают каждый бит данных по мере их поступления.
• Масштабируемый мониторинг: TAP могут генерировать одну или несколько копий трафика, агрегировать потоки и оптимизировать работу инструментов мониторинга.

Сетевые TAP стратегически развернуты между сегментами сети и пассивно копируют трафик, не нарушая работу сети, обеспечивая непрерывную видимость. Их простота и надежность делают их решением «установил и забыл».   

Когда следует использовать порты SPAN (да, есть исключения…)

Существуют сценарии, в которых порты SPAN могут быть приемлемы, например: 

• Временный или специальный мониторинг: Быстрое устранение неполадок в средах, где TAP недоступен.
• Ограниченный бюджет на освещение: В оптических сетях с ограниченным бюджетом на свет порты SPAN могут быть предпочтительнее, чем разделение света с помощью TAP.
• Экстренные производственные ситуации: Немедленный доступ к трафику, когда установка TAP не представляется возможной.
• Удаленные или малопосещаемые места: Объекты, где затраты на развертывание полноценного TAP могут быть неоправданными.
• Трафик внутри коммутатора: Мониторинг внутреннего трафика коммутатора, недоступного через физические каналы.

Практический совет: TAP там, где можно, SPAN там, где нужно (последнее средство) 

В современных высокоскоростных сетях TAP должны быть выбором по умолчанию для обеспечения полной видимости и безопасности. Вот основные причины этого: 

1. Полноценный мониторинг трафика: TAP захватывают точные копии двунаправленного трафика, обеспечивая точный мониторинг и аналитику.
2. Постоянный доступ: После установки внеполосные TAP не требуют постоянной настройки или обслуживания.
3. Отсутствие переподписки: В отличие от портов SPAN, TAP не перебрасывают пакеты, обеспечивая надежный мониторинг.
4. Постоянная скорость передачи данных: Порты SPAN часто не справляются со своей работой, особенно если их приоритет ниже производственного трафика.
5. Минимальное влияние на сеть: TAP работают пассивно, не влияя на производительность сети.
6. Соответствие нормативным требованиям: TAP соответствуют юридическим и корпоративным требованиям к комплексному мониторингу трафика.
7. Независимость от протокола: TAP перехватывают весь трафик, будь то IPv4, IPv6 или пакеты с ошибками.

Заключительная рекомендация: Выбор TAP для обеспечения максимальной видимости сети 

Для организаций, которым нужна последовательная, точная и безопасная видимость пакетов, TAP-шины Niagara Networks представляют собой оптимальное и надежное решение. В любое время, когда объем трафика умеренный или высокий, разверните сетевые TAP и убедитесь, что вы никогда не пропустите ни одного пакета. Для сетей с низким трафиком или временных потребностей можно использовать порты SPAN, но никогда не полагайтесь на них, если видимость и безопасность критически важны.  Для сетей, которым требуется 100-процентная видимость, масштабируемость и безопасность, TAP – это разумная инвестиция… 

Источник: Why SPAN Ports Can Fail Your Network Security, and Why Network TAPs Are the Smart Alternative