Per monitorare il traffico di rete, ad esempio per analizzare il comportamento online degli utenti, monitorare il traffico anomalo e monitorare le applicazioni di rete, è necessario raccogliere il traffico di rete. Tuttavia, la semplice acquisizione del traffico di rete può risultare imprecisa. In realtà, è necessario copiare il traffico di rete corrente e inviarlo al dispositivo di monitoraggio. Uno splitter di rete, noto anche come Network TAP, svolge proprio questa funzione. Vediamo la definizione di Network TAP:
I. Un Network Tap è un dispositivo hardware che consente di accedere ai dati che transitano su una rete di computer. (da Wikipedia)
II. AIntercettazione di reteLo splitter di rete, noto anche come Test Access Port, è un dispositivo hardware che si collega direttamente a un cavo di rete e invia una porzione di comunicazione di rete ad altri dispositivi. Gli splitter di rete sono comunemente utilizzati nei sistemi di rilevamento delle intrusioni di rete (IPS), nei rilevatori di rete e nei profiler. La replica della comunicazione verso i dispositivi di rete viene ora tipicamente effettuata tramite un analizzatore di porte di switching (span port), noto anche come port mirroring nello switching di rete.
III. I Network Tap vengono utilizzati per creare porte di accesso permanenti per il monitoraggio passivo. Un tap, o Test Access Port, può essere configurato tra due qualsiasi dispositivi di rete, come switch, router e firewall. Può funzionare come porta di accesso per dispositivi di monitoraggio utilizzati per raccogliere dati in linea, tra cui sistemi di rilevamento delle intrusioni, sistemi di prevenzione delle intrusioni implementati in modalità passiva, analizzatori di protocollo e strumenti di monitoraggio remoto. (da NetOptics).
Dalle tre definizioni precedenti, possiamo sostanzialmente ricavare diverse caratteristiche del Network TAP: hardware, inline, trasparente
Ecco una panoramica di queste caratteristiche:
1. Si tratta di un componente hardware indipendente e, per questo motivo, non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che rappresenta un grande vantaggio rispetto al port mirroring.
2. Si tratta di un dispositivo in linea. In parole semplici, deve essere connesso alla rete, il che è comprensibile. Tuttavia, questo presenta anche lo svantaggio di introdurre un punto di guasto e, poiché è un dispositivo online, la rete esistente deve essere interrotta al momento dell'installazione, a seconda di dove viene installato.
3. Trasparente si riferisce al puntatore alla rete corrente. Dopo lo shunt, la rete corrente per tutte le apparecchiature non ha alcun effetto, per loro è completamente trasparente, ovviamente, contiene anche il traffico di shunt di rete inviato alle apparecchiature di monitoraggio, il dispositivo di monitoraggio per la rete è trasparente, è come se si accedesse a una nuova presa elettrica, per gli altri apparecchi esistenti, non succede nulla, incluso quando finalmente si rimuove l'apparecchio e improvvisamente ci si ricorda della poesia, "Agita la manica e non una nuvola"...
Molti conoscono il port mirroring. Ebbene, anche il port mirroring può ottenere lo stesso risultato. Ecco un confronto tra Network Tap/Diverter e Port Mirroring:
1. Poiché la porta dello switch stesso filtra alcuni pacchetti errati e pacchetti di dimensioni troppo ridotte, il port mirroring non può garantire che tutto il traffico possa essere ricevuto. Tuttavia, lo shunter assicura l'integrità dei dati perché questi vengono completamente "copiati" a livello fisico.
2. In termini di prestazioni in tempo reale, su alcuni switch di fascia bassa, il port mirroring può introdurre ritardi durante la copia del traffico sulle porte di mirroring e anche durante la copia delle porte 10/100m sulle porte GIGA.
3. Il mirroring delle porte richiede che la larghezza di banda di una porta replicata sia maggiore o uguale alla somma delle larghezze di banda di tutte le porte replicate. Tuttavia, questo requisito potrebbe non essere soddisfatto da tutti gli switch.
4. È necessario configurare il port mirroring sullo switch. Quando si rendono necessarie modifiche alle aree da monitorare, è necessario riconfigurare lo switch.
Data di pubblicazione: 5 agosto 2022
