Quando si implementa un dispositivo IDS (Intrusion Detection System), la porta di mirroring sullo switch nel centro informazioni del peer non è sufficiente (ad esempio, è consentita una sola porta di mirroring, e tale porta è già occupata da altri dispositivi).
In questa fase, quando non aggiungiamo molte porte di mirroring, possiamo utilizzare il dispositivo di replica, aggregazione e inoltro di rete per distribuire la stessa quantità di dati di mirroring al nostro dispositivo.
Cos'è il Network TAP?
Forse avete sentito parlare per la prima volta di switch TAP. TAP (Terminal Access Point), noto anche come NPB (Network Packet Broker) o TAP Aggregator?
La funzione principale del TAP è quella di fungere da interfaccia tra la porta di mirroring sulla rete di produzione e un cluster di dispositivi di analisi. Il TAP raccoglie il traffico replicato o separato da uno o più dispositivi della rete di produzione e lo distribuisce a uno o più dispositivi di analisi dati.
Scenari comuni di implementazione della rete Network TAP
Network Tap ha etichette evidenti, come ad esempio:
Hardware indipendente
TAP è un componente hardware separato che non influisce sul carico dei dispositivi di rete esistenti, il che rappresenta uno dei vantaggi rispetto al port mirroring.
Interruttore?
Intercettazione di rete?
Rete trasparente
Una volta che il TAP è connesso alla rete, tutti gli altri dispositivi presenti sulla rete non ne risentono. Per loro, il TAP è completamente invisibile, e i dispositivi di monitoraggio collegati al TAP sono a loro volta invisibili all'intera rete.
TAP è simile al Port Mirroring su uno switch. Quindi, perché implementare un TAP separato? Analizziamo alcune delle differenze tra Network TAP e Network Port Mirroring.
Differenza 1: Network TAP è più facile da configurare rispetto al port mirroring
Il mirroring delle porte deve essere configurato sullo switch. Se è necessario regolare il monitoraggio, è necessario riconfigurare TUTTO lo switch. Tuttavia, il TAP deve essere regolato solo dove richiesto, senza alcun impatto sui dispositivi di rete esistenti.
Differenza 2: Network TAP non influisce sulle prestazioni di rete rispetto al port mirroring
Il port mirroring sullo switch ne compromette le prestazioni e ne influenza la capacità di switching. In particolare, se lo switch è collegato a una rete in serie, la capacità di inoltro dell'intera rete ne risente gravemente. TAP è un hardware indipendente e non compromette le prestazioni del dispositivo a causa del traffico mirroring. Pertanto, non ha alcun impatto sul carico dei dispositivi di rete esistenti, offrendo un notevole vantaggio rispetto al port mirroring.
Differenza 3: Network TAP offre un processo di traffico più completo rispetto alla replica del port mirroring
Il port mirroring non può garantire il passaggio di tutto il traffico, poiché la porta dello switch stesso filtra alcuni pacchetti errati o di dimensioni troppo ridotte. Il TAP, invece, garantisce l'integrità dei dati in quanto rappresenta una "replica" completa a livello fisico.
Differenza 4Il ritardo di inoltro di TAP è inferiore a quello del Port Mirroring.
Su alcuni switch di fascia bassa, il port mirroring può introdurre latenza durante la copia del traffico sulle porte mirrorate, così come durante la copia delle porte 10/100 Mbps in porte Gigabit Ethernet.
Sebbene ciò sia ampiamente documentato, riteniamo che le ultime due analisi manchino di un solido supporto tecnico.
Quindi, in quale situazione generale è necessario utilizzare un TAP per la distribuzione del traffico di rete? In poche parole, se si soddisfano i seguenti requisiti, allora il Network TAP è la scelta migliore.
Network TAP Technologies
Ascoltando quanto sopra, si percepisce che lo shunt di rete TAP è davvero un dispositivo magico; gli shunt TAP attualmente presenti sul mercato utilizzano un'architettura di base che si articola in circa tre categorie:
FPGA
- Prestazioni elevate
- Difficile da sviluppare
- Costo elevato
MIPS
- Flessibile e conveniente
- Difficoltà di sviluppo moderata
- I principali fornitori RMI e Cavium interruppero lo sviluppo e in seguito fallirono
ASIC
- Prestazioni elevate
- Lo sviluppo di funzioni di espansione è difficile, principalmente a causa delle limitazioni del chip stesso.
- L'interfaccia e le specifiche sono limitate dal chip stesso, con conseguenti scarse prestazioni di espansione.
Pertanto, l'elevata densità e velocità dei Network TAP presenti sul mercato offrono ampi margini di miglioramento in termini di flessibilità nell'utilizzo pratico. Gli shunter di rete TAP vengono utilizzati per la conversione di protocollo, la raccolta dati, lo shunting dati, il mirroring dati e il filtraggio del traffico. I principali tipi di porte comuni includono 100G, 40G, 10G, 2.5G POS, GE, ecc. A causa del graduale ritiro dei prodotti SDH, gli attuali shunter di rete TAP sono utilizzati principalmente in ambienti di rete interamente Ethernet.
Data di pubblicazione: 25 maggio 2022
