• Datenverkehr bestmöglich für maximale Transparenz an Sicherheitssysteme weiterleiten


Datenpakete zur Analyse sammeln, filtern und verteilen

Bei der Konzeption zur Einbindung eines IDS/IPS-Systems stellt sich unweigerlich die Frage, auf welchem Weg die zu analysierenden Daten zur Verfügung gestellt werden. In den meisten Fällen nutzt man dafür die Portspiegelung.

Dabei wird der Traffic über den SPAN (Switch Port Analyzer)-Port des Switches weiter geleitet. In den letzten Jahren hat sich aber herausgestellt, dass der Einsatz aus einer Kombination von TAPs (Test Access Point) und Packet Broker Switchen der bessere Weg ist, Daten für die Analyse bereitzustellen.

Sicher ist die Nutzung von SPAN-Ports erst einmal naheliegend, da sie eine kostengünstige Möglichkeit zur Weiterleitung des Traffics bieten. Bei genauer Betrachtung haben SPAN-Ports aber einige Einschränkungen, die die Verlässlichkeit des IDS/IPS-Systems in Frage stellen.

Ein Network Packet Broker verfügt über zahlreiche Ports, die flexibel als Ein- oder Ausgänge konfiguriert werden können. Dazwischen können Datenströme durch diverse Anpassungsmöglichkeiten bedarfsgerecht aggregiert, gefiltert und an mehrere Sicherheitssysteme weitergeleitet werden..
Ein Network Packet Broker verfügt über zahlreiche Ports, die flexibel als Ein- oder Ausgänge konfiguriert werden können.
Dazwischen können Datenströme durch diverse Anpassungsmöglichkeiten bedarfsgerecht aggregiert, gefiltert und an mehrere Sicherheitssysteme weitergeleitet werden.


Dazu gehört z.B., dass ein SPAN-Port in bestimmten Situationen Pakete verlieren kann, die dann nicht für die Analyse bereitstehen können. Auch kann es vorkommen, dass die Paketreihenfolge verändert wird. Nicht unwichtig dabei ist, dass durch den bidirektionalen Datenfluss eine Hintertür zum Angriff auf den Switch selbst geöffnet werden kann.

TAPs hingegen liefern jederzeit 100% des anfallenden Netzwerkverkehrs. Mit speziellen Data Dioden TAPs kann zudem sichergestellt werden, dass kein Rückfluss von Daten ins Netz erfolgt.

Packet Broker bieten die Möglichkeit mehrere Datenströme zu aggregieren und damit die Anzahl der benötigten Analyseports zu reduzieren, was zu einer Kostenersparnis führen kann. Auch ist es möglich, mehrere Kopien des Traffics zur Auswertung an unterschiedlichen Systemen (z.B. IDS, DPI, SIEM) zu generieren. Zusätzlich können die Sicherheitsanalysesysteme durch einfach zu definierende Paketfilter entlastet werden. Ein weiterer Vorteil, der durch Paket Broker erreicht werden kann, ist die Möglichkeit der Media und Speed Conversion.