Teknolojinin her geçen gün evrimleşmesi sonucu artık bir veriyi bir yerde saklamaktan ziyade veriye her an ve her yerden güvenli ve sorunsuz bir şekilde erişmek ve kullanmak daha önemli bir hal almıştır. Bu durum ise, bilgisayar ağlarının öneminin artmasına, bu öneme paralel olarak da bilgisayar ağlarının güvenliğinin ve performansının gerçek zamanlı sağlanması ihtiyacını gündeme getirmiştir.

İşte bu doğrultuda; kablolu ya da kablosuz bir ağdan ya da iletişim kablosundan geçen paketlerin kaybolmadan, sorunsuz, hızlı ve güvenli bir şekilde geçip geçmediğinin analizinin yapılması çok büyük önem taşımaktadır.

Kablolu Ağlarda Trafik Yakalama

Kablolu ağlarda trafik yakalamak için iki farklı yöntem bulunmaktadır. Bunlardan birisi “SPAN Metodu” diğeri ise “TAP Metodu” yöntemidir.

SPAN Metodu:

Ağ üzerinden akan trafiği elde etmenin en çok bilinen ve kullanılan yöntemi PORT SPAN ya da PORT MIRRORING olarak bilinen switch’ler üzerinde bir porttan akan trafiğin başka bir porta kopyalanmasıdır. Bu yöntem trafiğin elde edilmesinde ek bir maliyet gerektirmeyen ancak buna karşın bazı dezavantajları olan bir yöntemdir.

Trafiğin elde edileceği her cihazda cihazın “port mirroring” ya da “spanning” özelliği bulunmayabilir.

Switch’ler OSI 1. ve 2. katmanda oluşan hataları SPAN portlarına iletmemektedir. Yani, izlemek istenilen trafikte donanım ve medya hataları görünmeyeceğinden trafiğin %100’ünü izlemek mümkün olmayacaktır. Sadece switch içerisindeki trafik izlenebilir.

Ağ trafiğinin sürekli olarak izlenmesinin gerekli olduğu durumlarda bilerek veya bilinmeyerek monitör (SPAN) iptali sistemde bir takım sorunlara neden olacaktır.

Network cihazına yük bindirecek büyük bir trafiği monitör etme ihtiyacı duyulursa oluşan aşırı yük nedeniyle switch bünyesinde ya da monitör edilen paketlerde kayıplar yaşanabilmektedir.

Yapılacak bir full duplex iletişimde port kapasitesine yakın bir trafik söz konusu ise ve akan trafik her iki yönde (transmit and receive) izlenmek isteniyorsa trafiği tam anlamıyla takip etmek mümkün olamamaktadır.  Örneğin; 100 Mbit full duplex çalışan bir port switch üzerindeki başka bir 100Mbit lik port ile monitör edilmek istenilirse, TX ve RX trafiği ayrı ayrı 100’er Mbit olması nedeniyle toplam trafik 100Mbit’i aşacağından trafiğin tamamını izlemek mümkün olmayacaktır. Başka bir ifade ile full-dupleks linkleri paket kaçırmadan izlemek mümkün değildir.

TAP Metodu:

SPAN üzerinden “port mirroring” yöntemi monitoring (izleme) imkanının bulunmadığı durumlarda network tap en makul çözümdür. Basit bir Network tap cihazı bir kablo üzerinden akan bilgiyi çoklayan ve monitör etmeye imkan sağlayan basit bir donanımdır. Akan trafik arasına giren network TAP cihazları tamamen pasif olarak trafiği çoklarlar.

Network TAP’lerin en çok kullanıldığı alanlar; sniffing (paket capturing) yapılan yerler, IPS, IDS, firewall ve VoIP iletişimlerin geçtiği noktalardır.

Network TAP metodunun avantajları;

İki ağ cihazı arasındaki MAC, medya hataları da dahil olmak üzere trafiği %100 olarak monitör edebilir.

Trafiği topladıktan sonra TX ve RX trafikleri eş zamanlı olarak izlenebilmektedir.

Network TAP cihazları %100 pasif cihazlar olup, cihaz arıza yapsa bile trafikte herhangi bir soruna neden olmaz.

Network TAP cihazlarında herhangi bir ayara gerek olmadığından tak çalıştır olarak kullanılabilmektedir. Network TAP cihazları ağ üzerinde hissedilmez, IP ve MAC adresleri yoktur.

Çok portlu olan versiyonları kullanıldığında birden fazla cihaz monitoring amaçlı kullanılabilir. (Bu tür çok portlu olanlara regeneration tap denilmektedir)

Bakır, multimode ve single mode fiber, koaksiyel, 10, 40 ve 100G desteklemektedir.

Network TAP cihazının dezavantajları :

Network TAP donanımsal bir cihaz olduğu için bir maliyeti vardır. Network üzerinde  trafiği takip edilmek istenen nokta fazla ise maliyet artacaktır.

Switch içerisinde oluşan trafiği monitör edemezler.

Network TAP cihazı üzerinden analiz yapan cihazların TX ve RX olmak üzere iki arayüzü olmak zorundadır.

Kablolusuz Ağlarda Trafik Yakalama

Kablosuz ağlarda trafik yakalamak için öncelikle kablosuz ağ erişim noktasına özel bir kablosuz ağ kartı bulunan bilgisayar ile oturum açarak kablosuz erişim noktasındaki tüm trafiği yakalanıp kopyalanabilmektedir.

Özel WiFi Adaptor

Özel bir WiFi adaptör kullanılarak kablosuz ağa ait tüm kanallar ve bu kanallar içerisindeki trafiğin tamamı (802.11 a/b/g/n ) sorunsuz bir şekilde kopyalanabilmektedir.

Daha sonra kopyalanan trafik güçlü bir trafik analiz yazılımı kullanılarak detaylı bir şekilde analiz edilebilir. Analiz sonucu elde edilen bilgiler özellikle kablosuz ağın performansı, kablosuz ağdaki yük miktarı, erişim süresi, ölü bölgeler, ağdaki kullanıcıların sayısı, miktarı, MAC adresi, IP adresi gibi detaylı bilgileri içermektedir.

 Tel   +90 312 219 46 05
 GSM  +90 532 786 43 99
 Faks +90 312 219 56 16

fonitec-garland-ürünleriGarland Technology, bilgisayar ağlarının görünürlüğünü artıran ağ güvenliği, ağ görselleştirme, ağ performans izleme, network adli bilişimi, derin paket yakalama, veri sızıntısı önleme gibi ihtiyaçlarını gidermek amacıyla trafik toplama, atlatma, bölme, çoğaltma, yük dengeleme, yönlendirme, filtreleme, sanallaştırma ürünleri sunan bir ileri teknoloji firmasıdır.

Devamı...


Fonitec-WildPackets ürünleri  WildPackets, Inc, 1990 yılından bu yana kablolu ve kablosuz network üzerinde trafik analizi yapmak, trafiği optimize etmek,  güvenliğini sağlamak ve adli inceleme yapmak amacıyla çeşitli donanım ve yazılımlar geliştiren bir firmadır.

Devamı...


 
Yukarı