A Intercettazione di reteIl dispositivo Ethernet Tap, noto anche come Copper Tap o Data Tap, è un dispositivo utilizzato nelle reti Ethernet per acquisire e monitorare il traffico di rete. È progettato per consentire l'accesso ai dati che fluiscono tra i dispositivi di rete senza interrompere il funzionamento della rete stessa.
Lo scopo principale di un dispositivo di intercettazione di rete è quello di duplicare i pacchetti di rete e inviarli a un dispositivo di monitoraggio per l'analisi o altri scopi. In genere viene installato in linea tra dispositivi di rete, come switch o router, e può essere collegato a un dispositivo di monitoraggio o a un analizzatore di rete.
I Network Tap sono disponibili in versione passiva e attiva:
1.Intercettatori di rete passiviI dispositivi di intercettazione passiva del traffico di rete non richiedono alimentazione esterna e funzionano esclusivamente suddividendo o duplicando il traffico di rete. Utilizzano tecniche come l'accoppiamento ottico o il bilanciamento elettrico per creare una copia dei pacchetti che transitano attraverso il collegamento di rete. I pacchetti duplicati vengono quindi inoltrati al dispositivo di monitoraggio, mentre i pacchetti originali continuano la loro normale trasmissione.
I rapporti di suddivisione comunemente utilizzati nei dispositivi di intercettazione di rete passivi possono variare a seconda dell'applicazione e dei requisiti specifici. Tuttavia, esistono alcuni rapporti di suddivisione standard che si riscontrano frequentemente nella pratica:
50:50
Si tratta di un rapporto di divisione bilanciato in cui il segnale ottico viene suddiviso equamente, con il 50% destinato alla rete principale e il 50% utilizzato per il monitoraggio. Garantisce una potenza del segnale uguale per entrambi i percorsi.
70:30
In questo rapporto, circa il 70% del segnale ottico viene indirizzato alla rete principale, mentre il restante 30% viene utilizzato per il monitoraggio. Ciò consente di destinare una porzione maggiore del segnale alla rete principale, pur mantenendo la possibilità di effettuare monitoraggi.
90:10
Questo rapporto destina la maggior parte del segnale ottico, circa il 90%, alla rete principale, riservando solo il 10% al monitoraggio. In questo modo si privilegia l'integrità del segnale per la rete principale, fornendo al contempo una porzione minore per il monitoraggio.
95:05
Analogamente al rapporto 90:10, questo rapporto di suddivisione invia il 95% del segnale ottico alla rete principale e riserva il 5% per il monitoraggio. Offre un impatto minimo sul segnale della rete principale, fornendo al contempo una piccola porzione per esigenze di analisi o monitoraggio.
2.Interruttori di rete attiviI dispositivi di intercettazione di rete attivi, oltre a duplicare i pacchetti, includono componenti e circuiti attivi per migliorarne le funzionalità. Possono fornire funzionalità avanzate come il filtraggio del traffico, l'analisi dei protocolli, il bilanciamento del carico o l'aggregazione dei pacchetti. I dispositivi di intercettazione attivi solitamente richiedono alimentazione esterna per il funzionamento di queste funzioni aggiuntive.
I Network Tap supportano vari protocolli Ethernet, tra cui Ethernet, TCP/IP, VLAN e altri. Possono gestire diverse velocità di rete, da velocità inferiori come 10 Mbps a velocità superiori come 100 Gbps o più, a seconda del modello specifico di tap e delle sue capacità.
Il traffico di rete intercettato può essere utilizzato per il monitoraggio della rete, la risoluzione dei problemi di rete, l'analisi delle prestazioni, il rilevamento delle minacce alla sicurezza e l'esecuzione di analisi forensi di rete. I dispositivi di intercettazione del traffico di rete sono comunemente utilizzati da amministratori di rete, professionisti della sicurezza e ricercatori per ottenere informazioni sul comportamento della rete e garantire prestazioni, sicurezza e conformità della stessa.
Qual è dunque la differenza tra intercettazione di rete passiva e intercettazione di rete attiva?
A Tap di rete passivoè un dispositivo più semplice che duplica i pacchetti di rete senza capacità di elaborazione aggiuntive e non richiede alimentazione esterna.
An Interruzione di rete attivaD'altro canto, include componenti attivi, richiede alimentazione e offre funzionalità avanzate per un monitoraggio e un'analisi di rete più completi. La scelta tra i due dipende dai requisiti specifici di monitoraggio, dalle funzionalità desiderate e dalle risorse disponibili.
Tap di rete passivoVSInterruzione di rete attiva
| Tap di rete passivo | Interruzione di rete attiva | |
|---|---|---|
| Funzionalità | Un dispositivo di intercettazione di rete passivo funziona suddividendo o duplicando il traffico di rete senza modificare o alterare i pacchetti. Si limita a creare una copia dei pacchetti e a inviarla al dispositivo di monitoraggio, mentre i pacchetti originali continuano la loro normale trasmissione. | Un tap di rete attivo va oltre la semplice duplicazione dei pacchetti. Include componenti e circuiti attivi per migliorarne la funzionalità. I tap attivi possono fornire funzionalità come il filtraggio del traffico, l'analisi dei protocolli, il bilanciamento del carico, l'aggregazione dei pacchetti e persino la modifica o l'iniezione dei pacchetti. |
| Requisiti di alimentazione | I dispositivi di intercettazione di rete passivi non richiedono alimentazione esterna. Sono progettati per funzionare passivamente, affidandosi a tecniche come l'accoppiamento ottico o il bilanciamento elettrico per creare i pacchetti duplicati. | I dispositivi di intercettazione di rete attivi richiedono alimentazione esterna per il funzionamento delle loro funzioni aggiuntive e dei componenti attivi. Potrebbe essere necessario collegarli a una fonte di alimentazione per garantire il funzionamento desiderato. |
| Modifica del pacchetto | Non modifica né inietta pacchetti | Può modificare o iniettare pacchetti, se supportato |
| Capacità di filtraggio | Capacità di filtraggio limitata o assente | È possibile filtrare i pacchetti in base a criteri specifici |
| Analisi in tempo reale | Nessuna capacità di analisi in tempo reale | È in grado di eseguire analisi in tempo reale del traffico di rete. |
| Aggregazione | Nessuna funzionalità di aggregazione dei pacchetti | Può aggregare pacchetti provenienti da più collegamenti di rete |
| Bilanciamento del carico | Nessuna capacità di bilanciamento del carico | Consente di bilanciare il carico su più dispositivi di monitoraggio |
| Analisi del protocollo | Capacità di analisi del protocollo limitata o assente. | Offre un'analisi approfondita del protocollo e la decodifica |
| Interruzione della rete | Non invasivo, nessuna interruzione della rete | Potrebbe causare lievi interruzioni o latenza alla rete |
| Flessibilità | Flessibilità limitata in termini di funzionalità | Offre maggiore controllo e funzionalità avanzate |
| Costo | Generalmente più conveniente | In genere il costo è più elevato a causa delle funzionalità aggiuntive. |
Data di pubblicazione: 7 novembre 2023
