Per analizzare il traffico di rete, è necessario inviare i pacchetti di rete a NTOP/NPROBE o a strumenti di monitoraggio e sicurezza di rete fuori banda. A questo problema esistono due soluzioni:
Mirroring delle porte(anche noto come SPAN)
Intercettazione di rete(noto anche come Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, ecc.)
Prima di spiegare le differenze tra le due soluzioni (Port Mirror e Network Tap), è importante capire come funziona Ethernet. A 100 Mbit e oltre, gli host comunicano solitamente in full duplex, il che significa che un host può inviare (Tx) e ricevere (Rx) simultaneamente. Questo significa che su un cavo da 100 Mbit collegato a un host, la quantità totale di traffico di rete che un host può inviare/ricevere (Tx/Rx) è pari a 2 × 100 Mbit = 200 Mbit.
Il mirroring delle porte è una replica attiva dei pacchetti, il che significa che il dispositivo di rete è fisicamente responsabile della copia del pacchetto sulla porta replicata.
Ciò significa che il dispositivo deve eseguire questo compito utilizzando alcune risorse (come la CPU) ed entrambe le direzioni del traffico saranno replicate sulla stessa porta. Come accennato in precedenza, in un collegamento full duplex, ciò significa che
A -> B e B -> A
La somma di A non supererà la velocità di rete prima che si verifichi la perdita di pacchetti. Questo perché fisicamente non c'è spazio per copiare i pacchetti. Si scopre che il port mirroring è un'ottima tecnica in quanto può essere eseguita da molti switch (ma non da tutti), perché la maggior parte degli switch presenta lo svantaggio della perdita di pacchetti, se si monitora un collegamento con un carico superiore al 50%, o si effettua il mirroring delle porte su una porta più veloce (ad esempio, si effettua il mirroring di porte da 100 Mbit su una porta da 1 Gbit). Senza contare che il packet mirroring può richiedere lo scambio di risorse degli switch, il che può caricare il dispositivo e causare un degrado delle prestazioni di scambio. Si noti che è possibile collegare 1 porta a 1 porta, o 1 VLAN a 1 porta, ma in genere non è possibile copiare molte porte su 1. (Quindi, come per il packet mirror) manca.
Un TAP di rete (Terminal Access Point)Si tratta di un dispositivo hardware completamente passivo, in grado di acquisire passivamente il traffico di rete. Viene comunemente utilizzato per monitorare il traffico tra due punti della rete. Se la rete tra questi due punti è costituita da un cavo fisico, un TAP di rete può rappresentare la soluzione migliore per acquisire il traffico.
Il TAP di rete dispone di almeno tre porte: una porta A, una porta B e una porta di monitoraggio. Per posizionare un TAP tra i punti A e B, il cavo di rete tra i due punti viene sostituito con una coppia di cavi, uno collegato alla porta A del TAP e l'altro alla porta B. Il TAP instrada tutto il traffico tra i due punti di rete, mantenendoli così connessi. Il TAP copia inoltre il traffico sulla propria porta di monitoraggio, consentendo a un dispositivo di analisi di intercettarlo.
I TAP di rete sono comunemente utilizzati da dispositivi di monitoraggio e raccolta dati come gli APS. I TAP possono essere impiegati anche in applicazioni di sicurezza perché non sono invasivi, non sono rilevabili sulla rete, possono gestire reti full-duplex e non condivise e, in genere, consentono il passaggio del traffico anche in caso di malfunzionamento o interruzione di corrente.
Poiché le porte Network Tap non ricevono ma trasmettono soltanto, lo switch non sa chi si trova dietro le porte. Di conseguenza, trasmette i pacchetti a tutte le porte. Pertanto, se si collega un dispositivo di monitoraggio allo switch, tale dispositivo riceverà tutti i pacchetti. Si noti che questo meccanismo funziona solo se il dispositivo di monitoraggio non invia alcun pacchetto allo switch; in caso contrario, lo switch presumerà che i pacchetti intercettati non siano destinati a tale dispositivo. Per ottenere questo risultato, è possibile utilizzare un cavo di rete a cui non sono collegati i fili TX, oppure utilizzare un'interfaccia di rete senza IP (e senza DHCP) che non trasmetta affatto pacchetti. Infine, si noti che se si desidera utilizzare un tap per non perdere pacchetti, è necessario non unire le direzioni oppure utilizzare uno switch in cui le direzioni di intercettazione siano più lente (ad esempio 100 Mbit) rispetto alla porta di unione (ad esempio 1 Gbit).
Quindi, come catturare il traffico di rete? Intercettazione del traffico di rete vs. mirroring delle porte dello switch.
1- Configurazione semplice: Network Tap > Port Mirror
2- Influenza sulle prestazioni di rete: Network Tap < Port Mirror
3- Capacità di acquisizione, replica, aggregazione e inoltro: Network Tap > Port Mirror
4- Latenza di inoltro del traffico: Network Tap < Port Mirror
5- Capacità di preelaborazione del traffico: Network Tap > Port Mirror
Data di pubblicazione: 30 marzo 2022
