O port mirror (ou espelhamento de porta), como o próprio nome diz, significa copiar todo o tráfego de uma (ou mais portas) para uma outra porta, aonde esse tráfego pode ser coletado e inspecionado. Esse recurso tem várias aplicações no gerenciamento e monitoramento de redes, por exemplo:
- um link de Internet apresenta um comportamento anormal. O monitoramento via port mirror irá indicar qual o tráfego (inclusive origem e destino) quando o problema ocorrer.
- identificar se um servidor está com problemas. Monitorando todo o tráfego do servidor o administrador pode identificar se existe algum tráfego estranho ou se existe alguma relação entre o problema e o tráfego que o servidor recebe.
O recurso de port mirror também é utilizado em aplicações de segurança (IPS/IDS, por exemplo), porém esse assunto já foge do tema desta série de artigos.
Utilizando o port mirror
O port mirror é um recurso dos switchs (e alguns roteadores) e assim a sua forma de configuração pode mudar de fabricante para fabricante (as vezes, a forma de configuração é diferente mesmo entre linhas de equipamentos do mesmo fabricante). No entanto existem um padrão comum que pode ajudar a identificar como configurar esse recurso.
Em primeiro lugar, o recurso de port mirror indica qual será a porta alvo (que irá receber o tráfego copiado). Depois deve ser indicado quais as portas de origem (as portas que serão espionadas). Alguns switchs permitem apenas uma porta espionada, outros permitem com que várias portas sejam espionadas ao mesmo tempo, porém todo o tráfego vai para a mesma porta.
No caso de se monitorar várias portas ao mesmo tempo é importante notar alguns pontos importantes:
- qual o tráfego total? Se você estiver monitorando 5 portas Fast Ethernet e jogando esse tráfego em uma porta também Fast Ethernet você pode congestionar a "porta espiã". Assim, se houver muito tráfego nessas 5 portas monitoradas você irá perder pacotes na portas usada para monitorar e assim pode perder informações importantes para a resolução do problema que você esteja procurando.
- como identificar o tráfego de cada porta? O switch irá enviar o tráfego de todas as portas, misturadas e sem nenhum tipo de identificação, para porta de monitoramento, então como você vai identificar qual a origem de cada pacote?
Assim, é importante tem essas questões em mente quando monitorar várias portas ao mesmo tempo.
Outro recurso que alguns switchs permitem é identificar qual o fluxo de tráfego monitorar nas portas: apenas o tráfego que entra nessa porta, apenas o tráfego que sai por essa porta ou ambos? Dependendo do problema que se procura identificar, esse recurso pode ser útil para diminuir a quantidade de tráfego gerado.
O software de monitoramento
Uma vez configurado o switch, temos então as portas monitoradas (as portas espionadas) e a porta de monitoramento (a porta espiã), porém necessitam de algo para coletar e analisar esses pacotes.
Existem no mercado equipamentos dedicados para coletar e analisar esse tipo de tráfego, mas também é possível utilizar um computador com um software de sniffer (que pode ser um software comercial ou freeware).
O meu sniffer favorido é o Wireshark (antigamente tinha nome de Ethereal), que pode ser baixado gratuitamente daqui. Ele trabalha tanto em Windows, OS X (Apple) como em Linux e é grátis (além de ser open source).
Esse sniffer (seja um equipamento dedicado ou um notebook com Wireshark) é conectado na porta de monitoramento e ficará coletando todos os pacotes. Dependendo da quantidade de tráfego na rede e do tempo que o sniffer ficará monitorando, é possível que seja gerado uma grande quantidade de dados - certifique-se que o sniffer tenha espaço em disco adequado.
Vantagem do port mirror
Para o gerenciamento e monitoramento de redes, a grande vantagem do port mirror é que ele tem a capacidade de coletar todo os pacotes, dando assim uma visão completa do tráfego, o que permite a identificação de qualquer problema que ocorra na rede, tanto em camada 2 (Ethernet) como 3 (TCP/IP) ou superiores.
Desvantagens do port mirror
O port mirror é um recurso limitado, aonde se monitora apenas algumas poucas portas de cada vez. Os switchs em geral não permitem o port mirror de várias portas ao mesmo tempo para não impactar na performance da rede. Assim com o port mirror tem-se uma visão completa, porém de apenas uma parte da rede.
Além disso a quantidade de informações que o port mirror gera é muito grande. Se o administrador da rede não souber o que procurar, ele vai se afogar em uma quantidade enorme de dados (a informação que ele precisa estará lá, porém ele não conseguirá encontrar no meio de tanto tráfego).
Os sniffers ajudam a identificar os pacotes e tem recursos interessantes de busca e agrupamento de tráfego que facilitam o trabalho de administrador. No entanto ainda assim o trabalho do administrador pode ser complexo, então o port mirror é um recurso mais útil para profissionais experientes, que tenham boa noção de redes (ARP, RARP, Broadcast, UDP, TCP,etc) e dos protocolos de mais alto nível (HTTP, DNS, RDP, etc.).
Resumo
O port mirror é um recurso interessante para monitoramento de problemas em redes. Ele pode ser encontrado em praticamente todos os switchs gerenciáveis (e em alguns roteadores), gera informações com uma grande quantidade de detalhes e - nas mãos de profissionais com experiência - pode dar pistas importantes que ajudem na resolução de diversos tipos de problemas.
No entanto a grande quantidade de informações que ele gera e a dificuldade de se cobrir muitas portas ao mesmo tempo dificulta o seu uso de longo prazo.
Sendo assim o port mirror é um recurso para resolução de problemas (quando eles ocorrem) e não é muito adequada para coletada de dados históricos. Os protocolos sFlow e NetFlow (que serão descritos nos próximos artigos desta série) podem ser mais adequados para estas atividades de monitoramento de longo prazo.
Se você quiser ser avisado quando forem publicados os próximos artigos, por favor me siga no Twitter: http://www.twitter.com/mlrodrig
Comentários