Definition

Port Mirroring (Portspiegelung)

Michael Eckert
von

Was ist Port Mirroring?

Port Mirroring oder Portspiegelung dient der Überwachung des Netzwerkdatenverkehrs. Bei Port Mirroring wird der Netzwerk-Traffic eines Switch-Ports direkt zu einem anderen Port kopiert (gespiegelt). Port Mirroring ermöglicht es dem Administrator so, die Switch-Leistung genau zu verfolgen, indem er einen Protokollanalysator auf dem Port platziert, der die gespiegelten Daten empfängt. Portspiegelung ist ein Oberbegriff, verschiedene Switch-Hersteller haben jeweils eigene Namen für die Technologie. Zum Beispiel bietet Cisco die Portüberwachung SPAN an, was für Switched Port Analyzer steht.

Wie funktioniert Portspiegelung?

Ein Administrator konfiguriert Port Mirroring, indem er einen Port zuweist, von dem aus alle Pakete kopiert werden sollen, und einen anderen Port, an den diese Pakete gehen sollen. Ein Paket, das für den ersten Port bestimmt ist oder von ihm weggeht wird ebenfalls an den Spiegelport weitergeleitet. Der Administrator muss dann einen Protokollanalysator auf dem zweiten Port (Spiegelport) platzieren, der die gespiegelten Daten empfängt, um jedes Segment separat zu überwachen. Der Analysator, manchmal auch als Sniffer oder Paket-Sniffer bezeichnet, erfasst und wertet die Daten aus, ohne den Client auf dem ursprünglichen Port zu beeinträchtigen.

Netzwerkadministratoren können Port Mirroring als Diagnose- oder Debugging-Tool verwenden. Obwohl die Portspiegelung im aktiven Zustand möglicherweise erhebliche CPU-Ressourcen beansprucht, kann sie besonders nützlich sein, um einen Angriff abzuwehren.

Welche Arten von Port Mirroring gibt es?

Man unterscheidet zwischen lokalem Port Mirroring und Remote Port Mirroring, manchmal auch als Remote Port Monitoring bezeichnet. Remote Port Monitoring: Umfasst jedoch nicht nur das Spiegeln, sondern auch analytische und Überwachungsprozesse, bei denen Daten möglicherweise nicht vollständig dupliziert, sondern in einer aufbereiteten oder gefilterten Form weitergegeben werden.

Der Hauptunterschied zwischen lokalem Port Mirroring und Remote Port Mirroring liegt in der räumlichen Nähe der Quell- und Zielgeräte sowie der Netzwerkstruktur, über die die gespiegelten Pakete übertragen werden.

Lokales Port Mirroring

  • Quell- und Zielgerät befinden sich auf demselben physischen Gerät oder in derselben unmittelbaren Netzwerkumgebung.
  • Gespiegelte Datenpakete werden innerhalb desselben Geräts oder über ein lokales Netzwerk (LAN) weitergeleitet.
  • Lokales Port Mirroring wird vor allem verwendet, um den Netzwerkverkehr auf einem bestimmten Port in Echtzeit zu überwachen, indem dieser auf einen anderen Port auf demselben Switch oder Router gespiegelt wird.
  • Die Latenz ist in der Regel gering, da die Übertragung der gespiegelten Pakete innerhalb des gleichen Geräts oder des lokalen Netzwerks erfolgt.

Remote Port Mirroring (Remote Port Monitoring)

  • Quell- und Zielgerät befinden sich auf unterschiedlichen physischen Geräten, auch über ein größeres Netzwerk verteilt.
  • Die gespiegelten Pakete werden über ein weiter entferntes Netzwerk wie ein Layer-2- oder Layer-3-Netzwerk übertragen. Dies kann auch ein WAN (Wide Area Network) umfassen.
  • Remote Port Mirroring ist nützlich, wenn das Datenüberwachungsgerät nicht am selben Ort wie das Quellgerät installiert ist und der Netzwerkverkehr von entfernten Geräten überwacht werden muss.
  • Die Latenz ist in der Regel höher, da die Pakete über eine größere Entfernung und möglicherweise über mehrere Zwischengeräte weitergeleitet werden müssen.
Diese Definition wurde zuletzt im Oktober 2024 aktualisiert

Erfahren Sie mehr über Netzwerk-Monitoring und -Analyse