Network TAPs mit Datendiode
Daten aus kritischen Netzen sicher weiterleiten
Fortsetzung des Artikels von Teil 1
Passive vs. aktive TAPs
Ein passives Netzwerk-TAP ist ein Gerät, das keine physische Trennung zwischen seinen Netzwerkanschlüssen aufweist. Das bedeutet, dass bei einem Stromausfall des Geräts der Datenverkehr zwischen den Netzwerkanschlüssen weiter fließen kann und die Verbindung aufrechterhalten bleibt. Dies gilt sowohl für Glasfaser-TAPs als auch für Netzwerk-TAPs als Kupferschnittstelle mit 10/100 MBit/s. Glasfaser-TAPs teilen das ankommende Licht in zwei oder mehr Pfade auf und benötigen zunächst einmal keinen Strom. 10- oder 100-MBit/s- Kupfer-TAPs benötigen bei ihrer Verwendung Strom, aber da es keine physische Trennung zwischen den Netzwerkanschlüssen gibt, sind sie auch vollständig passiv. In ihrem Fall bleibt die Verbindung bei einem Stromausfall ohne Failover-Zeit oder Verzögerung bei der Wiederherstellung der Verbindung bestehen.
Aus Sicherheitsgründen ist bei passiven TAPs zu beachten, dass eingehendes Licht im Monitorausgang ausreichend gedämpft ist. Indem das von den Monitoranschlüssen kommende Licht blockiert ist, lassen sich mögliche Angriffe oder Störungen verhindern.
Im Gegensatz zu passiven TAPs verfügen aktive TAPs typischerweise über 1-GBit/s-Kupfer-Ports. Die Netzwerk-Ports sind physisch getrennt, was auf die im TAP verwendeten elektrischen Komponenten zurückzuführen ist. Daher benötigen sie einen ausfallsicheren Mechanismus, der sicherstellt, dass das Netz bei einem Stromausfall des TAPs betriebsbereit bleibt. Die Technik basiert auf einer Reihe von Relais, die offen gehalten werden, wenn das Gerät mit Strom versorgt ist. Bei Stromausfall überbrücken diese Relais die elektronischen Komponenten, sodass das Netz betriebsbereit bleibt.
Es gibt jedoch Situationen, zum Beispiel Platzgründe oder eine zu große Anzahl an TAPs, in denen die Verwendung von SPAN-Ports weiterhin erforderlich ist. In diesen Fällen ist es ratsam, die SPAN-Ports mit einem Datendioden-TAP zu verbinden, das gleichzeitig Daten aggregieren kann. So lassen sich die gespiegelten Daten sicher, aggregiert und ohne großen Platzbedarf im Schaltschrank an die Überwachungstools weiterleiten. Wenn ein Unternehmen mehrere TAP- oder SPAN-Ports nutzt, kann das kostspielig sein, denn Intrusion-Detection-Systeme sind nach Leistungsfähigkeit lizenziert. In diesem Fall sollte die Wahl auf Datendioden-Aggregations-TAPs fallen. Sie nutzen ein bewährtes Hardwaredesign und ermöglichen eine verlustfreie Datenverkehrsaggregation. Es lassen sich beispielsweise vier Network-TAPs oder bis zu acht SPAN-Ports zu einem oder zwei Monitorausgängen zusammenführen. Somit reduzieren sich auch die Kosten für die IDS-Lösung.
SPAN-Ports sind ursprünglich für eine temporäre Netzwerkanalyse konzipiert und nicht für einen Dauerbetrieb. Datendioden-TAPs hingegen erlauben es, IT/OT-Sicherheitslösungen rund um die Uhr sämtliche Datenpakete zur Verfügung zu stellen. Nur so ist zu gewährleisten, dass sich das Netzwerk ordnungsgemäß analysieren und schützen lässt, ohne dabei zusätzliche Schwachstellen durch eingehenden Datenverkehr zu schaffen. Aus diesem Grund sind Datendioden-TAPs die ideale Lösung für Hochsicherheitsumgebungen und können in kritischen Infrastrukturen als Verbindungen zwischen zwei oder mehr Netzen unterschiedlicher Sicherheitseinstufung dienen. Die Technik bewährt sich in Kraftwerken ebenso wie in anderen sicherheitskritischen Umgebungen.
Jos Op ‘t Root ist Geschäftsführer von Netcor.
- Daten aus kritischen Netzen sicher weiterleiten
- Passive vs. aktive TAPs
Lesen Sie mehr zum Thema
