Om het netwerkverkeer te analyseren, is het noodzakelijk om het netwerkpakket naar NTOP/NPROBE of Out-of-band Network Security and Monitoring Tools te sturen. Er zijn twee oplossingen voor dit probleem:
Poortspiegeling(ook bekend als SPAN)
Netwerktap(ook bekend als Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Voordat we de verschillen tussen de twee oplossingen (Port Mirror en Network Tap) uitleggen, is het belangrijk om te begrijpen hoe Ethernet werkt. Bij 100 Mbit en hoger communiceren hosts meestal in full-duplex, wat betekent dat één host tegelijkertijd kan verzenden (Tx) en ontvangen (Rx). Dit betekent dat over een 100 Mbit-kabel die op één host is aangesloten, de totale hoeveelheid netwerkverkeer die één host kan verzenden/ontvangen (Tx/Rx) 2 × 100 Mbit = 200 Mbit is.
Poortspiegeling is actieve pakketreplicatie, wat betekent dat het netwerkapparaat fysiek verantwoordelijk is voor het kopiëren van het pakket naar de gespiegelde poort.
Dit betekent dat het apparaat deze taak moet uitvoeren met behulp van een bepaalde bron (zoals de CPU), en dat beide verkeersrichtingen naar dezelfde poort worden gerepliceerd. Zoals eerder vermeld, betekent dit in een full-duplexverbinding dat
A -> B en B -> A
De som van A zal de netwerksnelheid niet overschrijden voordat er pakketverlies optreedt. Dit komt doordat er fysiek geen ruimte is om pakketten te kopiëren. Port mirroring blijkt een uitstekende techniek te zijn, omdat het door veel switches (maar niet alle) kan worden uitgevoerd. De meeste switches hebben namelijk het nadeel van pakketverlies. Als u een verbinding met meer dan 50% belasting bewaakt, of de poorten spiegelt naar een snellere poort (bijvoorbeeld 100 Mbit-poorten spiegelen naar een 1 Gbit-poort), kan dat ertoe leiden dat pakketmirroring vereist dat de resources van de switches worden uitgewisseld. Dit kan het apparaat belasten en de uitwisselingsprestaties verslechteren. U kunt 1 poort op één poort aansluiten, of 1 VLAN op één poort, maar u kunt over het algemeen niet meerdere poorten naar 1 poort kopiëren. (De packet mirror ontbreekt dus.)
Een netwerk TAP (Terminal Access Point)Een volledig passief hardwareapparaat dat passief verkeer op een netwerk kan vastleggen. Het wordt vaak gebruikt om het verkeer tussen twee punten in het netwerk te monitoren. Als het netwerk tussen deze twee punten uit een fysieke kabel bestaat, is een netwerk-TAP mogelijk de beste manier om verkeer vast te leggen.
De netwerk-TAP heeft ten minste drie poorten: een A-poort, een B-poort en een monitorpoort. Om een tap tussen punt A en B te plaatsen, wordt de netwerkkabel tussen punt A en punt B vervangen door twee kabels, waarvan er één naar poort A van de TAP gaat en de andere naar poort B van de TAP. De TAP stuurt al het verkeer tussen de twee netwerkpunten door, zodat ze nog steeds met elkaar verbonden zijn. De TAP kopieert het verkeer ook naar de monitorpoort, waardoor een analyseapparaat kan meeluisteren.
Netwerk-TAP's worden vaak gebruikt door bewakings- en verzamelapparaten zoals APS. TAP's kunnen ook worden gebruikt in beveiligingstoepassingen omdat ze onopvallend zijn, niet detecteerbaar zijn in het netwerk, full-duplex en niet-gedeelde netwerken aankunnen en doorgaans verkeer doorlaten, zelfs als de tap niet meer werkt of de stroom uitvalt.
Omdat Network Taps-poorten niet ontvangen maar alleen verzenden, heeft de switch geen idee wie er achter de poorten zit. Het gevolg is dat de pakketten naar alle poorten worden uitgezonden. Als u uw monitoringapparaat op de switch aansluit, ontvangt dit apparaat dus alle pakketten. Merk op dat dit mechanisme werkt als het monitoringapparaat geen pakketten naar de switch verzendt; anders gaat de switch ervan uit dat de afgetapte pakketten niet voor dat apparaat bestemd zijn. Om dit te bereiken, kunt u een netwerkkabel gebruiken waarop u de TX-draden niet hebt aangesloten, of een IP-loze (en DHCP-loze) netwerkinterface gebruiken die helemaal geen pakketten verzendt. Merk ten slotte op dat als u een tap wilt gebruiken om pakketten niet te verliezen, u ofwel geen merge-richtingen moet gebruiken, ofwel een switch moet gebruiken waarvan de afgetapte richtingen langzamer zijn (bijv. 100 Mbit) dan de merge-poort (bijv. 1 Gbit).
Dus, hoe leg je netwerkverkeer vast? Netwerktaps versus switchpoorten, mirrors
1- Eenvoudige configuratie: Netwerktap > Poortspiegel
2- Invloed van netwerkprestaties: Netwerktap < Poortspiegel
3- Vastleggen, repliceren, aggregeren, doorsturen: Netwerktap > Poortspiegel
4-Latentie bij doorsturen van verkeer: Netwerktap < Poortspiegel
5- Voorverwerkingscapaciteit voor verkeer: Netwerktap > Poortspiegel
Plaatsingstijd: 30-03-2022
