GoldenLine
Zaloguj się
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Poszukuję schematu,porad,instrukcji,katalogu części jak takie coś zrobić samemu.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

1. Wchodzisz na allegro
2. Kupujesz hub

;]

Ręcznie z użyciem ogólnie dostępnych części pewnie dałoby się coś takiego zbudować na 100MBitów (ale hub tańszy) ale dla gigabita ze względu na prędkości raczej nie (ale to można użyć switcha z odpowiednim ficzerem.

Ew. 2 sieciówki, linuxowy bridge i możesz słuchać ;]
Link do wypowiedziLink

konto usunięte

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Zygmunt Bieliński:
Poszukuję schematu,porad,instrukcji,katalogu części jak takie coś zrobić samemu.

Kolega lutował pasywnego tapa wg. ogólnodostępnego schematu, niestety dobrze działał na 10mbit tylko przy krótkich patchcordach.
Jeśli ma być przeźroczyste to tylko z retransmisją, a to już wyjdzie niewiele taniej niż tap komercyjny. Jeśli zależy Ci na identyfikacji kierunku pakietów to hub odpada, linuxowy bridge jak najbardziej się sprawdza (choć przy prostej konfiguracji brydża z tego co pamiętam identyfikacji kierunku również się nie dało, dopiero przy wsparciu ebtables).
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Raczej myślałem o pasywnym Tapie powiedzmy z jednym interfejsem przekazującym ruch do odpowiedniego narzędzia. czyli w sumie trzy porty fast.

dlatego użyłem hasła klucza TAP :-)
a nie sniffer :-) czy hub :-)
chodzi mi głownie o urządzenie które nie ingerowało by w ruch.

wiem że jest port span nie raz używałem ale z doświadczenia to różnie działa u różnych vendorów.
czasami span powoduje nadmierne obciążenie switcha oraz nie daje pełnego obrazu z racji tego że ruchu nie jest przekazywany galwanicznie 1 do 1.
Ile może kosztować taki Tap komercyjny powiedzmy do fasta 100 FullDuplex ? a ile zrobienie go w przydomowym garażu ?

most za pomocą linuxa już ingeruje w ruch chodź przy odpowiednich kartach
sieciowych mógłby się sprawdzić jako TAP aktywny. I tu pytanie jakie karty dobrać chodzi mi o możliwość programowania ich.
jak w takich zadaniu wyłapywania błędów warstwy I i II spisuje się oprogramowanie open source ? i co jest godne polecenia ?

Jak ktoś ma schematy to poproszę garażowego TAPA passywnego takiego co działał :-)
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Najpopularniejszy i najbardziej "powerful" jest chyba wireshark, albo do "długotrwałęgo" monitoringu snort. Wiresharkime zanalizujesz praktycznie wszystko na kablu ;].

linuxowy "bridge" to właściwie switch, tyle że 2portowy, nnie przejmowałbym się bardzo jakimkolwiek ingerencjami.

Możesz zawsze wziać switch ze SPAN/Port mirroing/jakkolwiek vendor to nazwał 1Gbitowy i używać w sieci 100MBitowej, zapas bandwidthu jest ;]
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Wireshark to podstawa w sniffowaniu. Ale mi potrzebny bardziej jest prosty automat który powie w sieci jest taki a taki problem na podstawie analizy ruchu i zbudowanych kryteriów i poinformuję o tym adminka. Raczej nie mam zamiaru gapić się na przelatujące ramki i pakiety dzień w dzień.

Jak ktoś ma coś podobnego to proszę o kontakt myślałem o snorcie i trybie inline. chyba że polecacie mi coś innego ?

Co do span portu w nie których przypadkach nie polecam. Testowałem jakiś czas temu i mam złe doświadczenie z tym związane.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

No to snort działa dobrze, tylko trzeba go trochę postroić do lokalnej sieci (mi no. spamował za każdym razem jak ktoś wysyłał dużego maila przez webowego gmaila bo POST duży)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Polecam też kuknąć na dość nowe i lowcostowe rozwiązanie:

http://www.dual-comm.com/port-mirroring-LAN_switch.htm
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

i moja prośba jest bez odzewu czy naprawdę nikt nie robił tego w garażu ;-)

I. span port proste rozwiązanie do przekazywania ruchu ale z pewnymi wadami
II. netflow ale trzeba mieć wsparcie na urządzeniu i perser ale to już głownie warstawa III i IV.
III. TAP komercyjny może ktoś z handlowców jest na forum i wypożyczy takie urządzenie do dwutygodniowych testów ?
IV. pc z dwoma kartami sieciowy w niektórych przypadkach starczy jedna linux i jakiś soft jako perser. I to by mnie obecnie interesowało. I dlatego prośba do osób na grupie o polecenie książek,stron oraz najlepszych praktyk robienie systemu do analizy ruchu w sieci.
V. Wpięcie huba.
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Zygmunt.

Co do IV. To autor książki poniżej pokazuje jak zrobić takie rozwiązanie na BSD. Jest też maaasa informacji o monitoringu ruchu, głównie w temacie bezpieczeństwa. Autor też prowadzi bloga głównie w temacie network security monitoring. Link też poniżej.

http://www.amazon.com/Tao-Network-Security-Monitoring-...
http://taosecurity.blogspot.com/
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Zygmunt Bieliński:
IV. pc z dwoma kartami sieciowy w niektórych przypadkach starczy jedna linux i jakiś soft jako perser. I to by mnie obecnie interesowało. I dlatego prośba do osób na grupie o polecenie książek,stron oraz najlepszych praktyk robienie systemu do analizy ruchu w sieci.
na początek stawiasz bridge:
http://www.faqs.org/docs/Linux-HOWTO/Ethernet-Bridge-n...
najlepiej bez adresu IP, tylko żeby sobie słuchał (w debianopodobnych można też ustawiać z /etc/network/interfaces)
+ dodatkow możesz dodać w iptables regułkę żeby wszystkie pakiety wychodzące (tabelka OUTPUT) z maszyny DROPował (bridgowany ruch nie przechodzi przez iptables tylko przez ebtables (Ethernet Bridge tables) więc ruchu przechodzącego nie tkniesz przez nie)

Miałem w poprzedniej robocie tak ustawioną maszynę ze SNORTem, najlepiej mieć oddzielną sieciówkę do podłączenia się do takiej maszyny aczkolwiek można użyć interfejsu bridga (z punktu widzenia sieci wygląda to jak 3-portowy switch z jednym portem podłączonym do maszyny na której jest bridge
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

To chyba postawię na tego linuxa z trzema kartami sieciowymi jedna do obieranie ruchu druga do wpuszczania go z powrotem do sieci i jedna do zarządzania.

Dzięki za podesłanie linków i porad.
Link do wypowiedziLink
Tomasz Plewa

Tomasz Plewa mgr inż. nauk
zbytecznych ;)

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

A ja nie wiem po co takie kombinacje :)

Pasywne wpinanie sie w Ethernet moze narobic wiecej szkody niz to wszystko warte. Proponuje sobie zrobic pomiary czegos takiego przyzwoitym miernikiem np. FLUKE...

Najlepiej zainwestowac sobie np. w jakiegos Cisco, nawet z demobilu...
...ma sie przyzwoitego switcha i wszystko zalatwia poprzez "port monitor" Mozna sobie przekierowywac na sniffer wybrane VLANY itp.

Tylko najpierw sprawdzic czy dany model to supportuje...

Takie kombinacje alpejskie raczej nie maja wiekszego sensu, no moze w domu...Tomasz Plewa edytował(a) ten post dnia 08.01.11 o godzinie 01:20
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Problem z "wpiąć jakieś cisco" jest to że
a) wpływa to na dane (jakby nie patrzeć switch pomiędzy) chociaż ma to znaczenie chyba tylko gdy debuguje się błędy na 2 warstwie i to bardzo nietypowe, wszystko wyżej raczej nie będzie widzieć różnicy.
b) gdy chcemy debugować tak 1Gbitową sieć trzeba zapłącić za taki switch (chociaż pewnie taniej niż za firmowy TAP) - już chyba lepiej przepuścić to przez kompa z 2 zbridgowanymi sieciówkami
Link do wypowiedziLink
Tomasz Plewa

Tomasz Plewa mgr inż. nauk
zbytecznych ;)

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

No niestety jesli chodzi o 1Gbps to moze nie jest to tanie, ale tez sprzet 1Gbps oferujacy np. jumboframes per port itp. nie jest tani. Natomiast wiekszosc tanich switchy 1Gbps to taka bajka o 1Gpbps bo ich wydajnosc przelaczania jest najczesciej marna.

Nie wiem o jaki problem chodzi z ingerencja w warstwe druga :) wkoncu i tak switch gdzies stoi, a funkcja monitor robi tak jak by HUB-a czyli to co sobie wybierzemy przezroczyscie przesyla nam na port monitor.

Wlasciwie ta funkcjonalnoc zostala stworzona wlasnie pod katem analizy ruchu.
Do tego stosujac taki switch zyskujemy wiele dodatkowych funkcjonalnosci jesli chodzi o bezpieczenstwo.

Pytanie czy warto ? Jesli dbamy o bezpieczenstwo i niezawodnosc sieci to chyba tak... inaczej takie zabawy to raczej "security by obscurity"

Jedyna zaleta takich sieciowek to cena... z wydajnoscia moze byc roznie i jest to kolejny sprzet gdzie moze nastapic awaria...

Generalnie z mojego doswiadczenia to dosc czesto mowi sie o security, a jak mam sposobnoc zobaczenia niektorych rozwiazan i to wcale w niemalych firmach to mamy podcieranie dupy szklem i mowe o security :)

Przynajmniej ja nauczylem sie takiego podejscia przez kupe lat praktyki, jak mam cos robic zle to wole wcale tego nie robic :) no chyba ze ktos wymaga i sie upiera, a ja mam dupochron w postaci pisma ze za nic nie odpowiadam :)Tomasz Plewa edytował(a) ten post dnia 08.01.11 o godzinie 16:40
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Jeszcze komentarze / porównanie / plusy / minusy odnośnie:

monitoring ruchu TAP vs SPAN

http://taosecurity.blogspot.com/2007/12/expert-comment...
Link do wypowiedziLink
Tomasz Plewa

Tomasz Plewa mgr inż. nauk
zbytecznych ;)

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

No mozna jeszcze dodac info ze istnieja wyspecjalizowane analizatory sieci ktore daja jeszcze wieksze pole manewru przy diagnozowaniu specyficznych problemow w L2 i nizej, ahh tyle te ceny :)

Jeszcze tak zastanawiajac sie z pozycji zastosowan amatorskich.

Aby wykonac cos takiego wmiare rozsadnie pasywnie nalezalo by w urzadzeniu po ktorejs stronie wpakowac odpowiednio zmieniony transformator seperujacy, mozna by cos kombinowac z takimi trafami na lini :) ale tutaj juz pojawia sie zbyt wiele problemow. Zreszta taka koncepcje raczej odkladam na bok, bo kupno takiego trafa nie wchodzi w gre. Natomiast wykonanie w warunkach amatorskich aby zachowac odpowiednie parametry bylo by bardzo trudne.

Odnosnie TAP-ow to tam tez musi siedziec jakas elektronika i tak samo nie jest to juz rozwiazanie pasywne. Tak samo powstaja problemy wydajnosci jak i opoznien ot chocby propagacja bramek (ale takie to w tym zastosowaniu mozna pomijac) :) Mozna by sie pokusic tutaj albo o wykorzystanie jakis chipow z kart sieciowych, ale tutaj kolejny problem najlatwiej podlaczyc takie z wyjsciami rownoleglymi... wiec ograniczamy sie max do 10Mbps max 100Mbps i to o kiepskiej wydajnosci. Lepsze maja juz zbyt trudne do ogarniecia magistrale (PCI itd.), choc mozna spokojnie i cos takiego wykorzystac - ale to dodatkowe problemy w ogarnieciu calosci.

Inna alternatywa to jakies szybkie FPGA i tam zrobic implementacje... ale tutaj tez mozna napotkac na sporo problemow.
Stosujac zwykle sieciowki tak samo mozna osiagnac rozne efekty, wszystko zalezy od wykorzystanego w sieciowce chip-a :)

Gdy zaczynamy mowic o 10Gbps pojawiaja sie kolejne problemy itd. Nie wspominajac o innych protokolach SDH czy jakis Voice SS7 itp.

Generalnie temat do rozmyslen na dlugie zimowe wieczory :)Tomasz Plewa edytował(a) ten post dnia 11.01.11 o godzinie 15:05
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

wchodząć w technikalia, z punktu widzienia elektronicznego wystarczyłby prawdopodobnie wstawić 2 zamiast jednego wzmacniacza buforującego za transformatorem i wysłać jeden do portu TAP, a drugi użyć do "normalnego" portu. Ale wymaga to bardzo szybkiej (i drogiej) elektroniki oraz dużej wiedzy w projektowaniu tego typu układów.

A jak już bawić się w sieciówki, 2x http://www.myri.com/Myri-10G/10gbe_solutions.html, linux jak bridge i można szaleć, 1Gbit powinno przerobić, z tym że to jest ~120MB/s x2 w full duplex, więc reszta maszyny musi być odpowiednio szybka.
Link do wypowiedziLink
Tomasz Plewa

Tomasz Plewa mgr inż. nauk
zbytecznych ;)

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

tylko te wzmacniacze juz od dawna sa zintegrowane w chipach. Juz takich konstrukcji gdzie byly osobno dawno nie widzialem.

10Gbe to na chwile obecna jeszcze spora kasa :) wiec nie wiem czy jest sens w takie zabawy. Ja zmienialem ostatnio Core na 10Gbe i wyszly straszne pieniadze :)

Prawde mowiac jak bym mial to robic od podstaw to opartl bym to o jakies chipy wytargane z sieciowek + FPGA... chyba najrozsadniejsze rozwiazanie i najszybsze w moim wypadku do realizacji.Tomasz Plewa edytował(a) ten post dnia 11.01.11 o godzinie 18:43
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: TAP sieciowy ma może ktoś schemat jak takie coś zbudować...

Można kupic odpowiednio szybkie chipy, będą też kosztowac odpowiednio ;]. 2 sieciówki + linux (czy *BSD) to najtańsze i dobre rozwiązanie (bridgowanie w linuxie jest raczej szybkie: http://facweb.cti.depaul.edu/jyu/Publications/Yu-Linux... ).
Na FPGA pewnie robione są komercyjne rozwiązania, oraz FPGA nie są tanie, nie wyszłoby wcale taniej niż kupno gotowego produktu, już nie mówiąc o ilości wiedzy jakiej trzeba posiadać by to zrobić (nie to nie jest "skopiuj pakiet z jednego portu na drugi", trzebaby zrobić bridge w FPGA).

I takiego FPGA nawet nie wlutujesz w płytkę bez specjalnego sprzętu (chociaż niektórzy ręcznie ustawiają kulki do bga i potem do piekarnika... ale to już hardcor ;]), już nie mówiąc o reszcie rzeczy wymaganych żeby coś takiego działało ;].
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Najlepszy antywir dla firm ...




Wyślij zaproszenie do
Anuluj