Per monitorare il traffico di rete, ad esempio per l'analisi del comportamento online degli utenti, il monitoraggio del traffico anomalo e il monitoraggio delle applicazioni di rete, è necessario raccogliere il traffico di rete. L'acquisizione del traffico di rete potrebbe essere imprecisa. Infatti, è necessario copiare il traffico di rete corrente e inviarlo al dispositivo di monitoraggio. Uno splitter di rete, noto anche come Network TAP, svolge proprio questo compito. Diamo un'occhiata alla definizione di Network TAP:
I. Un Network Tap è un dispositivo hardware che fornisce un modo per accedere ai dati che scorrono attraverso una rete di computer. (da Wikipedia)
II. UnRubinetto di rete, noto anche come Test Access Port, è un dispositivo hardware che si collega direttamente a un cavo di rete e invia un frammento di comunicazione di rete ad altri dispositivi. Gli splitter di rete sono comunemente utilizzati nei sistemi di rilevamento delle intrusioni di rete (IPS), nei rilevatori di rete e nei profiler. La replica della comunicazione con i dispositivi di rete viene ora in genere eseguita tramite un analizzatore di porte di commutazione (span port), noto anche come port mirroring nella commutazione di rete.
III. I TAP di rete vengono utilizzati per creare porte di accesso permanenti per il monitoraggio passivo. Un TAP, o Porta di Accesso di Prova, può essere configurato tra due dispositivi di rete, come switch, router e firewall. Può fungere da porta di accesso per i dispositivi di monitoraggio utilizzati per raccogliere dati in-line, inclusi sistemi di rilevamento delle intrusioni, sistemi di prevenzione delle intrusioni implementati in modalità passiva, analizzatori di protocollo e strumenti di monitoraggio remoto. (da NetOptics).
Dalle tre definizioni di cui sopra, possiamo fondamentalmente trarre diverse caratteristiche di Network TAP: hardware, in linea, trasparente
Ecco uno sguardo a queste caratteristiche:
1. È un componente hardware indipendente e, per questo motivo, non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che presenta grandi vantaggi rispetto al mirroring delle porte
2. È un dispositivo in linea. In parole povere, deve essere connesso alla rete, il che è comprensibile. Tuttavia, questo presenta anche lo svantaggio di introdurre un punto di errore e, poiché si tratta di un dispositivo online, la rete corrente deve essere interrotta al momento dell'implementazione, a seconda di dove viene implementato.
3. Trasparente si riferisce al puntatore alla rete corrente. Le reti di accesso dopo lo shunt, la rete corrente per tutte le apparecchiature, non ha alcun effetto, per loro è completamente trasparente. Naturalmente, contiene anche lo shunt di rete che invia traffico alle apparecchiature di monitoraggio. Il dispositivo di monitoraggio per la rete è trasparente, è come se si avesse un nuovo accesso a una nuova presa elettrica, per gli altri apparecchi esistenti. Non succede nulla, anche quando si rimuove finalmente l'apparecchio e improvvisamente si ricorda la poesia, "Agita la manica e non una nuvola"...
Molte persone hanno familiarità con il port mirroring. Sì, anche il port mirroring può ottenere lo stesso effetto. Ecco un confronto tra Network Tap/Diverter e Port Mirroring:
1. Poiché la porta dello switch filtra automaticamente alcuni pacchetti di errore e pacchetti di dimensioni troppo ridotte, il mirroring delle porte non può garantire che tutto il traffico possa essere ricevuto. Tuttavia, lo shunter garantisce l'integrità dei dati perché vengono completamente "copiati" a livello fisico.
2. In termini di prestazioni in tempo reale, su alcuni switch di fascia bassa, il mirroring delle porte può introdurre ritardi quando copia il traffico sulle porte di mirroring e introduce ritardi anche quando copia le porte 10/100m sulle porte GIGA
3. Il port mirroring richiede che la larghezza di banda di una porta mirrorata sia maggiore o uguale alla somma delle larghezze di banda di tutte le porte mirrorate. Tuttavia, questo requisito potrebbe non essere soddisfatto da tutti gli switch.
4. Il port mirroring deve essere configurato sullo switch. Una volta modificate le aree da monitorare, è necessario riconfigurare lo switch.
Data di pubblicazione: 05-08-2022
