Per monitorare il traffico di rete, ad esempio per l'analisi del comportamento online degli utenti, il monitoraggio del traffico anomalo e il monitoraggio delle applicazioni di rete, è necessario raccogliere il traffico di rete. L'acquisizione del traffico di rete potrebbe essere imprecisa. Infatti, è necessario copiare il traffico di rete corrente e inviarlo al dispositivo di monitoraggio. Uno splitter di rete, noto anche come Network TAP, svolge proprio questo compito. Diamo un'occhiata alla definizione di Network TAP:
I. Un Network Tap è un dispositivo hardware che fornisce un modo per accedere ai dati che scorrono attraverso una rete di computer. (da Wikipedia)
II. ARubinetto di rete, noto anche come Test Access Port, è un dispositivo hardware che si collega direttamente a un cavo di rete e invia un segnale di comunicazione di rete ad altri dispositivi. Gli splitter di rete sono comunemente utilizzati nei sistemi di rilevamento delle intrusioni (IPS), nei rilevatori di rete e nei profiler. La replica della comunicazione con i dispositivi di rete viene ora in genere eseguita tramite un analizzatore di porte di commutazione (span port), noto anche come mirroring delle porte nella commutazione di rete.
III. I TAP di rete vengono utilizzati per creare porte di accesso permanenti per il monitoraggio passivo. Un TAP, o Porta di Accesso di Prova, può essere configurato tra due dispositivi di rete qualsiasi, come switch, router e firewall. Può fungere da porta di accesso per i dispositivi di monitoraggio utilizzati per raccogliere dati in-line, inclusi sistemi di rilevamento delle intrusioni (IDP), sistemi di prevenzione delle intrusioni (IPP) implementati in modalità passiva, analizzatori di protocollo e strumenti di monitoraggio remoto (da NetOptics).
Dalle tre definizioni sopra riportate, possiamo fondamentalmente trarre diverse caratteristiche del Network TAP: hardware, inline, trasparente
Ecco uno sguardo a queste funzionalità:
1. Si tratta di un componente hardware indipendente e, per questo motivo, non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che presenta grandi vantaggi rispetto al mirroring delle porte
2. Si tratta di un dispositivo in linea. In parole povere, deve essere connesso alla rete, il che è comprensibile. Tuttavia, questo presenta anche lo svantaggio di introdurre un punto di errore e, poiché si tratta di un dispositivo online, la rete corrente deve essere interrotta al momento dell'implementazione, a seconda di dove viene implementato.
3. Trasparente si riferisce al puntatore alla rete corrente. Le reti di accesso dopo lo shunt, la rete corrente per tutte le apparecchiature, non ha alcun effetto, per loro è completamente trasparente. Naturalmente, contiene anche lo shunt di rete che invia traffico alle apparecchiature di monitoraggio. Il dispositivo di monitoraggio per la rete è trasparente, è come se si avesse un nuovo accesso a una nuova presa elettrica, per gli altri apparecchi esistenti. Non succede nulla, anche quando si rimuove finalmente l'apparecchio e improvvisamente si ricorda la poesia "Agita la manica e non una nuvola"...
Molte persone hanno familiarità con il port mirroring. Sì, anche il port mirroring può ottenere lo stesso effetto. Ecco un confronto tra Network Tap/Diverter e Port Mirroring:
1. Poiché la porta dello switch stesso filtrerà alcuni pacchetti di errore e pacchetti di dimensioni troppo ridotte, il mirroring delle porte non può garantire che tutto il traffico possa essere ricevuto. Tuttavia, lo shunter garantisce l'integrità dei dati poiché vengono completamente "copiati" a livello fisico.
2. In termini di prestazioni in tempo reale, su alcuni switch di fascia bassa, il mirroring delle porte può introdurre ritardi quando copia il traffico sulle porte mirroring e introduce anche ritardi quando copia le porte 10/100m sulle porte GIGA
3. Il mirroring delle porte richiede che la larghezza di banda di una porta mirror sia maggiore o uguale alla somma delle larghezze di banda di tutte le porte mirror. Tuttavia, questo requisito potrebbe non essere soddisfatto da tutti gli switch.
4. Il mirroring delle porte deve essere configurato sullo switch. Una volta modificate le aree da monitorare, è necessario riconfigurare lo switch.
Data di pubblicazione: 05-08-2022