Czasami podczas wdrożenia, do rozwiązania problemu konieczne jest przechwycenie ruchu sieciowego między urządzeniami, aby usunąć występujące przeszkody. W przypadku, gdy jednym z urządzeń jest komputer z uruchomionym oprogramowaniem, często wystarczające jest zainstalowane oprogramowania typu Wireshark i sprawdzenie, gdzie występuje problem. W przypadku, gdy chcemy sprawdzić ruch między urządzeniami, konieczne jest przechwycenie transmisji z portu jednego z urządzeń.
W profesjonalnych rozwiązaniach możemy wykorzystać funkcję "port mirroring" na przełączniku i możemy "skopiować" ruch z wybranego portu/portów/vlanu na inny wybrany port gdzie podłączymy komputer np. z oprogramowaniem Wireshark. Tym sposobem możemy przechwytywać ruch z prędkością interfejsu czyli np. 1Gb/s lub więcej (np. 10Gb/s), jednak przy większych prędkościach pojawiają się spore wymagania co do urządzeń przechwytujących i analizujących badany ruch sieciowy.
Jak możemy poradzić sobie w "terenie", gdy pilnie musimy zbadać ruch między dwoma urządzeniami w LAN oraz nie posiadamy zarządzalnego przełącznika z funkcją "mirror port", oraz nie możemy na urządzeniach zainstalować oprogramowania do analizy ruchu (np. jest to para router/drukarka/macierz dyskowa/przełącznik itp).
Kiedyś popularnym sposobem było wykorzystanie przestarzałego huba 10Mb/s, obecnie tego typu urządzenia są mniej dostępne, a ograniczona przepustowość może być problemem.
Możemy wykorzystać sposób pasywnego odgałęźnika (tap) 100Mb/s (fast Ethernet), który pozwoli na przechwycenie ruchu sieciowego między urządzeniami. Jest to rozwiązanie poza wszelkimi normami, które może nawet doprowadzić (w skrajnych przypadkach) do uszkodzenia sprzętu. Można też dla zwiększenia bezpieczeństwa "odseparować" się od odgałęźnika np. przełącznikem fast Ethernet za ~40zł.
Użycie rozwiązania jest na własne ryzyko, ale czasami taki prosty "tap" może przydać się przy rozwiązywaniu problemów z komunikacją sieciową.
Do przygotowania "odgałęzinka" wykorzystałem dwa podwójne gniazda 8P8C (RJ45),
na początek łączymy wyprowadzenia jednego gniazda z gniazdem w drugim module:
1 - 1 (TX+)
2 - 2 (TX-)
3 - 3 (RX+)
6 - 6 (RX-)
Uzyskujemy "przedłużkę", która może działać w standardzie FastEthernet.
Następnie w obu modułach, na drugie gniazdo odgałęziamy linie transmisyjne. W jednym gnieździe parę nadawczą (1,2), w drugim gnieździe parę odbiorczą (3,6). Pary odgałęziamy na wyprowadzenia 3,6 (RX+, RX-).
1(TX+) - 3 (RX+)
2(TX-) - 6 (RX-)
3(RX+) - 3 (RX+)
6(RX-) - 6 (RX-)
Po zamknięciu gniazd warto oznaczyć je tak, aby wewnętrzny schemat połączeń był jasny dla każdego:
Do gniazda "Device" podłączamy przewodem prostym (patch) np. w standardzie EIA/TIA T586B urządzenie,
do gniazda "Uplink" podłączamy dotychczasowy przewód podłączony do interfejsu urządzenia.
Na gniazdach Tap możemy przechwycić jednokierunkowe transmisje "z urządzenia" lub "do urządzenia". Do gniazda "Tap" podłączamy kabel prosty i łączymy go z kartą sieciową w komputerze z zainstalowanym programem typu Wireshark. Jeżeli chcemy jednocześnie przechwytywać transmisję w obu kierunkach, potrzebujemy dwóch interfejsów sieciowych w komputerze analizującym ruch.
Ze względu na powszechne AUTO MDI-MDIX (wykrywanie połączenia przewodem prostym/patch lub skrosowanym/crossover), kierunek transmisji dostępny na wyprowadzeniach Tap ustalamy eksperymentalnie.
W moim przypadku na gnieździe "Tap" obok gniazda "Uplink" dostępny był ruch "z urządzenia do Uplink", natomiast na gnieździe "Tap" obok gniazda "Device" dostępny był ruch "z Uplnik do urządzenia".
Pasywny Tap można wykorzystać wyłącznie na swoją odpowiedzialność (ryzyko uszkodzeń/zakłóceń), w warunkach domowych "odgałęźnik" może przydać się do sprawdzenia ruchu między naszym domowym routerem a urządzeniem operatora z interfejsem Ethernet. Można sprawdzić, jaką komunikację nawiązuje domowy router oraz jaki ruch przychodzi na interfejs WAN z internetu. Atakujący mogą próbować wykorzystują luki w oprogramowaniu tanich routerów, aby budować sieci botnet lub próbować np. przekierować nas na fałszywą stronę banku itp. Sprawdzenie komunikacji routera z internetem może pozwolić wykryć anomalie. Urządzenie może przydać się przy edukacji i eksperymentach z siecią LAN oraz wykrywaniu problemów z uruchamianymi urządzeniami (np. enc28j60).
Co myślicie o takim prymitywnym sposobie na analizę ruchu sieciowego?
W profesjonalnych rozwiązaniach możemy wykorzystać funkcję "port mirroring" na przełączniku i możemy "skopiować" ruch z wybranego portu/portów/vlanu na inny wybrany port gdzie podłączymy komputer np. z oprogramowaniem Wireshark. Tym sposobem możemy przechwytywać ruch z prędkością interfejsu czyli np. 1Gb/s lub więcej (np. 10Gb/s), jednak przy większych prędkościach pojawiają się spore wymagania co do urządzeń przechwytujących i analizujących badany ruch sieciowy.
Jak możemy poradzić sobie w "terenie", gdy pilnie musimy zbadać ruch między dwoma urządzeniami w LAN oraz nie posiadamy zarządzalnego przełącznika z funkcją "mirror port", oraz nie możemy na urządzeniach zainstalować oprogramowania do analizy ruchu (np. jest to para router/drukarka/macierz dyskowa/przełącznik itp).
Kiedyś popularnym sposobem było wykorzystanie przestarzałego huba 10Mb/s, obecnie tego typu urządzenia są mniej dostępne, a ograniczona przepustowość może być problemem.
Możemy wykorzystać sposób pasywnego odgałęźnika (tap) 100Mb/s (fast Ethernet), który pozwoli na przechwycenie ruchu sieciowego między urządzeniami. Jest to rozwiązanie poza wszelkimi normami, które może nawet doprowadzić (w skrajnych przypadkach) do uszkodzenia sprzętu. Można też dla zwiększenia bezpieczeństwa "odseparować" się od odgałęźnika np. przełącznikem fast Ethernet za ~40zł.
Użycie rozwiązania jest na własne ryzyko, ale czasami taki prosty "tap" może przydać się przy rozwiązywaniu problemów z komunikacją sieciową.
Do przygotowania "odgałęzinka" wykorzystałem dwa podwójne gniazda 8P8C (RJ45),
na początek łączymy wyprowadzenia jednego gniazda z gniazdem w drugim module:
1 - 1 (TX+)
2 - 2 (TX-)
3 - 3 (RX+)
6 - 6 (RX-)
Uzyskujemy "przedłużkę", która może działać w standardzie FastEthernet.
Następnie w obu modułach, na drugie gniazdo odgałęziamy linie transmisyjne. W jednym gnieździe parę nadawczą (1,2), w drugim gnieździe parę odbiorczą (3,6). Pary odgałęziamy na wyprowadzenia 3,6 (RX+, RX-).
1(TX+) - 3 (RX+)
2(TX-) - 6 (RX-)
3(RX+) - 3 (RX+)
6(RX-) - 6 (RX-)
Po zamknięciu gniazd warto oznaczyć je tak, aby wewnętrzny schemat połączeń był jasny dla każdego:
Do gniazda "Device" podłączamy przewodem prostym (patch) np. w standardzie EIA/TIA T586B urządzenie,
do gniazda "Uplink" podłączamy dotychczasowy przewód podłączony do interfejsu urządzenia.
Na gniazdach Tap możemy przechwycić jednokierunkowe transmisje "z urządzenia" lub "do urządzenia". Do gniazda "Tap" podłączamy kabel prosty i łączymy go z kartą sieciową w komputerze z zainstalowanym programem typu Wireshark. Jeżeli chcemy jednocześnie przechwytywać transmisję w obu kierunkach, potrzebujemy dwóch interfejsów sieciowych w komputerze analizującym ruch.
Ze względu na powszechne AUTO MDI-MDIX (wykrywanie połączenia przewodem prostym/patch lub skrosowanym/crossover), kierunek transmisji dostępny na wyprowadzeniach Tap ustalamy eksperymentalnie.
W moim przypadku na gnieździe "Tap" obok gniazda "Uplink" dostępny był ruch "z urządzenia do Uplink", natomiast na gnieździe "Tap" obok gniazda "Device" dostępny był ruch "z Uplnik do urządzenia".
Pasywny Tap można wykorzystać wyłącznie na swoją odpowiedzialność (ryzyko uszkodzeń/zakłóceń), w warunkach domowych "odgałęźnik" może przydać się do sprawdzenia ruchu między naszym domowym routerem a urządzeniem operatora z interfejsem Ethernet. Można sprawdzić, jaką komunikację nawiązuje domowy router oraz jaki ruch przychodzi na interfejs WAN z internetu. Atakujący mogą próbować wykorzystują luki w oprogramowaniu tanich routerów, aby budować sieci botnet lub próbować np. przekierować nas na fałszywą stronę banku itp. Sprawdzenie komunikacji routera z internetem może pozwolić wykryć anomalie. Urządzenie może przydać się przy edukacji i eksperymentach z siecią LAN oraz wykrywaniu problemów z uruchamianymi urządzeniami (np. enc28j60).
Co myślicie o takim prymitywnym sposobie na analizę ruchu sieciowego?
