5 Gründe warum man keinen permanenten SPAN-Port verwenden sollte - Teil 1

Jan 24, 2018

SPAN- oder auch MIRROR-Ports genannt sind oft ein heiß diskutiertes Thema zwischen Netzwerkadministratoren und Security-Verantwortlichen. Bei der hohen Portdichte von aktuellen Switches sind meist freie Ports vorhanden. So ist schnell eine Entscheidung getroffen einen dieser freien Ports mal eben zum Traffic-Monitoring zu verwenden. Da ist auch grundsätzlich nichts dagegen einzuwenden. Dafür ist das SPAN Feature ja auch vorhanden. Jedoch wurde SPAN ursprünglich dafür entwickelt den Netzwerkadministratoren eine einfache Möglichkeit zur Fehlersuche mittels eines Netzwerkanalyzers im Netzwerk zu bieten. Daran hat sich auch grundsätzlich nichts geändert obwohl moderne Switches deutlich umfangreichere SPAN Konfigurationsmöglichkeiten bieten als dies bei der Einführung des SPAN Features der Fall war.
Genau diese hohe Flexibilität und neuen Möglichkeiten verführen sehr leicht zum fragwürdigen Einsatz, bzw. auch Missbrauch von SPAN-Ports. So gibt es wohl kein Unternehmen das keine SPAN-Ports für permanentes Traffic-Monitoring einsetzt. Die Ports sind verfügbar und können ohne Mehrkosten zu erzeugen recht schnell entsprechend der jeweiligen Monitoringaufgabe konfiguriert werden. Dabei werden die möglichen Auswirkungen und die erreichbare Qualität der angelieferten Daten auf dem SPAN-Port meist nicht geprüft.
Darum habe ich nachfolgend 5 Gründe zusammengestellt warum man in dauerhaften Monitoring Installationen keine oder nur bedingt SPAN-Ports einsetzen sollte:

  1. Ein Zielport (SPAN) empfängt Kopien des gesendeten und empfangenen Verkehrs für alle überwachten Quellports. Wenn ein Zielport (SPAN) überbelegt ist, kann er jederzeit überlastet werden. Diese Überlastung führt nicht nur zu Paketverlusten am Zielport (SPAN) sondern kann sich auf die Weiterleitung des Verkehrs an einem oder mehrerer der Quellports auswirken. Das bedeutet wenn mehrere Ports und/oder VLANs eines Switches auf einen SPAN-Port 'kopiert' oder gespiegelt werden und alle Port die gleiche Bandbreite unterstützen (z.B. 10G) können jederzeit Paketverluste an allen beteiligten Ports auftreten. Damit können auch produktive Daten verloren gehen und mit Sicherheit gehen Daten am SPAN-Port verloren, was zumindest zu verfälschten Messungen (für welchen Zweck auch immer) führt.

  2. Alle Daten an einem überwachten Quellport werden einmal zu dem Empfängersystem das an einem der anderen Switchports angeschlossen ist weitergeleitet und dann zusätzlich nochmals 'kopiert' und an den Zielport (SPAN) weitergeleitet. Das führt zu einer Erhöhung des Datenverkehrs pro überwachtem Quellport auf diesem Switch. Dies belastet den gesamten Switch mit oft unvorhersehbaren Folgen (erhöhte Fehlerrate, höhere Latenzen, etc.) neben dem mit der zusätzlichen Belastung steigenden Datenverlust. Der Umfang dieser Auswirkungen ist jedoch auch immer von der internen Architektur des jeweiligen Switches abhängig und ist im Einzelfall zu prüfen.

Sie möchten mehr erfahren?
Stellen Sie uns Ihre Frage hier oder rufen Sie uns an.

Teil 2 wird in ca. 2 Wochen hier erscheinen!