Per analizzare il traffico di rete, è necessario inviare il pacchetto di rete a NTOP/NPROBE, ovvero a strumenti di monitoraggio e sicurezza di rete fuori banda. Esistono due soluzioni a questo problema:
Mirroring delle porte(noto anche come SPAN)
Rubinetto di rete(noto anche come Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)
Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 Mbit e oltre, gli host di solito comunicano in full duplex, il che significa che un host può inviare (Tx) e ricevere (Rx) simultaneamente. Ciò significa che su un cavo da 100 Mbit collegato a un host, la quantità totale di traffico di rete che un host può inviare/ricevere (Tx/Rx) è 2 × 100 Mbit = 200 Mbit.
Il port mirroring è una replicazione attiva dei pacchetti, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta sottoposta a mirroring.
Ciò significa che il dispositivo deve eseguire questa attività utilizzando una risorsa (come la CPU) ed entrambe le direzioni del traffico verranno replicate sulla stessa porta. Come accennato in precedenza, in un collegamento full duplex, ciò significa che
A -> B e B -> A
La somma di A non supererà la velocità di rete prima che si verifichi una perdita di pacchetti. Questo perché non c'è fisicamente spazio per copiare i pacchetti. Si scopre che il mirroring delle porte è un'ottima tecnica in quanto può essere eseguito da molti switch (ma non tutti), poiché la maggior parte degli switch presenta lo svantaggio della perdita di pacchetti se si monitora un collegamento con un carico superiore al 50% o se si esegue il mirroring delle porte su una porta più veloce (ad esempio, il mirroring di porte da 100 Mbit su una porta da 1 Gbit). Per non parlare del fatto che il mirroring dei pacchetti potrebbe richiedere lo scambio di risorse degli switch, che potrebbe sovraccaricare il dispositivo e causare un degrado delle prestazioni dello scambio. Si noti che è possibile collegare 1 porta a una porta o 1 VLAN a una porta, ma generalmente non è possibile copiare molte porte su 1 (come nel caso del mirroring dei pacchetti).
Un TAP di rete (punto di accesso terminale)È un dispositivo hardware completamente passivo, in grado di catturare passivamente il traffico su una rete. Viene comunemente utilizzato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un TAP di rete potrebbe essere il modo migliore per catturare il traffico.
Il TAP di rete ha almeno tre porte: una porta A, una porta B e una porta monitor. Per posizionare un TAP tra i punti A e B, il cavo di rete tra il punto A e il punto B viene sostituito con una coppia di cavi, uno collegato alla porta A del TAP e l'altro alla porta B del TAP. Il TAP gestisce tutto il traffico tra i due punti di rete, che rimangono quindi connessi tra loro. Il TAP copia anche il traffico sulla sua porta monitor, consentendo così a un dispositivo di analisi di ascoltare.
I TAP di rete sono comunemente utilizzati da dispositivi di monitoraggio e raccolta dati come gli APS. I TAP possono essere utilizzati anche in applicazioni di sicurezza perché sono discreti, non sono rilevabili sulla rete, possono gestire reti full-duplex e non condivise e solitamente gestiscono il traffico anche in caso di guasto o interruzione dell'alimentazione del TAP.
Poiché le porte dei Network Tap non ricevono ma solo trasmettono, lo switch non ha idea di chi si trovi dietro le porte. Di conseguenza, trasmette i pacchetti a tutte le porte. Pertanto, se si collega il dispositivo di monitoraggio allo switch, tale dispositivo riceverà tutti i pacchetti. Si noti che questo meccanismo funziona se il dispositivo di monitoraggio non invia alcun pacchetto allo switch; in caso contrario, lo switch presumerà che i pacchetti intercettati non siano destinati a tale dispositivo. Per ottenere ciò, è possibile utilizzare un cavo di rete a cui non sono stati collegati i cavi di trasmissione oppure un'interfaccia di rete senza IP (e senza DHCP) che non trasmette pacchetti. Infine, si noti che se si desidera utilizzare un tap per non perdere pacchetti, è necessario non unire le direzioni oppure utilizzare uno switch in cui le direzioni intercettate siano più lente (ad esempio 100 Mbit) rispetto alla porta di unione (ad esempio 1 Gbit).
Quindi, come catturare il traffico di rete? Tap di rete vs. mirroring delle porte dello switch
1- Configurazione semplice: Network Tap > Port Mirror
2- Influenza sulle prestazioni di rete: Network Tap < Port Mirror
3- Capacità di acquisizione, replica, aggregazione, inoltro: Network Tap > Port Mirror
4- Latenza di inoltro del traffico: Network Tap < Port Mirror
5- Capacità di preelaborazione del traffico: Network Tap > Port Mirror
Data di pubblicazione: 30 marzo 2022