Om het netwerkverkeer te analyseren, is het nodig om het netwerkpakket naar NTOP/NPROBE of out-of-band netwerkbeveiligings- en monitoringtools te sturen. Hiervoor zijn twee oplossingen:
Poortspiegeling(ook bekend als SPAN)
Netwerktap(ook bekend als replicatietap, aggregatietap, actieve tap, kopertap, ethernettap, enz.)
Voordat we de verschillen tussen de twee oplossingen (Port Mirror en Network Tap) uitleggen, is het belangrijk om te begrijpen hoe Ethernet werkt. Bij snelheden van 100 Mbit/s en hoger communiceren hosts meestal in full-duplex, wat betekent dat één host tegelijkertijd kan verzenden (Tx) en ontvangen (Rx). Dit houdt in dat op een 100 Mbit/s-kabel die op één host is aangesloten, de totale hoeveelheid netwerkverkeer die één host kan verzenden/ontvangen (Tx/Rx) 2 × 100 Mbit/s = 200 Mbit/s bedraagt.
Poortspiegeling is actieve pakketreplicatie, wat betekent dat het netwerkapparaat fysiek verantwoordelijk is voor het kopiëren van het pakket naar de gespiegelde poort.
Dit betekent dat het apparaat deze taak moet uitvoeren met behulp van een bepaalde bron (zoals de CPU), en dat beide verkeersrichtingen naar dezelfde poort worden gerepliceerd. Zoals eerder vermeld, betekent dit bij een full-duplexverbinding dat
A -> B en B -> A
De som van A zal de netwerksnelheid niet overschrijden voordat pakketverlies optreedt. Dit komt doordat er fysiek geen ruimte is om pakketten te kopiëren. Het blijkt dat port mirroring een uitstekende techniek is, omdat het door veel switches kan worden uitgevoerd (maar niet door alle). De meeste switches hebben namelijk als nadeel dat er pakketverlies optreedt als een link met een belasting van meer dan 50% wordt gemonitord, of als de poorten worden gespiegeld naar een snellere poort (bijvoorbeeld 100 Mbit-poorten spiegelen naar een 1 Gbit-poort). Bovendien kan packet mirroring het uitwisselen van switchbronnen vereisen, wat de apparaten kan belasten en de prestaties van de uitwisseling kan verminderen. Merk op dat je één poort op één poort kunt aansluiten, of één VLAN op één poort, maar je kunt over het algemeen niet meerdere poorten naar één poort kopiëren. (Dus packet mirroring) ontbreekt.
Een netwerk-TAP (Terminal Access Point)Een netwerk-TAP is een volledig passief hardwareapparaat dat passief netwerkverkeer kan vastleggen. Het wordt vaak gebruikt om het verkeer tussen twee punten in het netwerk te monitoren. Als de verbinding tussen deze twee punten via een fysieke kabel loopt, is een netwerk-TAP mogelijk de beste manier om het verkeer vast te leggen.
De netwerk-TAP heeft minimaal drie poorten: een A-poort, een B-poort en een monitorpoort. Om een TAP tussen punt A en punt B te plaatsen, wordt de netwerkkabel tussen punt A en punt B vervangen door een paar kabels, waarvan er één naar de A-poort van de TAP gaat en de andere naar de B-poort van de TAP. De TAP stuurt al het verkeer tussen de twee netwerkpunten door, zodat ze met elkaar verbonden blijven. De TAP kopieert het verkeer ook naar de monitorpoort, waardoor een analyseapparaat kan meeluisteren.
Netwerk-TAP's worden vaak gebruikt door bewakings- en verzamelapparaten zoals APS. TAP's kunnen ook worden gebruikt in beveiligingstoepassingen omdat ze onopvallend zijn, niet detecteerbaar zijn op het netwerk, overweg kunnen met full-duplex en niet-gedeelde netwerken, en meestal verkeer doorlaten, zelfs als de tap uitvalt of de stroom wegvalt.
Omdat Network Tap-poorten alleen verzenden en niet ontvangen, weet de switch niet wie er achter de poorten zit. Het gevolg is dat de switch de pakketten naar alle poorten uitzendt. Als u uw monitoringapparaat op de switch aansluit, ontvangt dit apparaat dus alle pakketten. Dit mechanisme werkt alleen als het monitoringapparaat zelf geen pakketten naar de switch verzendt; anders gaat de switch ervan uit dat de getapte pakketten niet voor dat apparaat bestemd zijn. Om dit te voorkomen, kunt u een netwerkkabel gebruiken zonder TX-draden, of een IP-loze (en DHCP-loze) netwerkinterface die helemaal geen pakketten verzendt. Tot slot, als u een tap wilt gebruiken om pakketverlies te voorkomen, kunt u de verbindingsrichtingen beter niet samenvoegen of een switch gebruiken waarbij de getapte richtingen trager zijn (bijv. 100 Mbit/s) dan de samenvoegingspoort (bijv. 1 Gbit/s).
Hoe leg je netwerkverkeer vast? Netwerktaps versus switchpoorten.
1. Eenvoudige configuratie: Netwerktap > Poortspiegeling
2. Invloed van netwerkprestaties: Netwerktap < Poortspiegeling
3. Mogelijkheid tot vastleggen, repliceren, aggregeren en doorsturen: Netwerktap > Poortspiegeling
4. Latentie bij het doorsturen van verkeer: Netwerktap < Poortspiegeling
5. Capaciteit voor verkeersvoorverwerking: Netwerktap > Poortspiegeling
Geplaatst op: 30 maart 2022
