Om netwerkverkeer te monitoren, zoals het analyseren van online gedrag van gebruikers, het opsporen van afwijkend verkeer en het monitoren van netwerkapplicaties, is het nodig om netwerkverkeer te verzamelen. Het vastleggen van netwerkverkeer kan echter onnauwkeurig zijn. In feite is het nodig om het actuele netwerkverkeer te kopiëren en naar het monitoringapparaat te sturen. Een netwerksplitter, ook wel bekend als Network TAP, doet precies dat. Laten we eens kijken naar de definitie van Network TAP:
I. Een netwerktap is een hardwareapparaat dat toegang biedt tot de gegevens die over een computernetwerk stromen. (bron: Wikipedia)
II. ANetwerktapEen netwerksplitter, ook wel testtoegangspoort genoemd, is een hardwareapparaat dat rechtstreeks in een netwerkkabel wordt gestoken en een deel van de netwerkcommunicatie naar andere apparaten verzendt. Netwerksplitters worden vaak gebruikt in netwerkinbraakdetectiesystemen (IPS), netwerkdetectoren en profilers. Het repliceren van communicatie naar netwerkapparaten gebeurt tegenwoordig meestal via een switchpoortanalysator (spanpoort), ook wel bekend als poortspiegeling in netwerkswitches.
III. Netwerktaps worden gebruikt om permanente toegangspoorten te creëren voor passieve monitoring. Een tap, of testtoegangspoort, kan worden opgezet tussen twee willekeurige netwerkapparaten, zoals switches, routers en firewalls. Deze kan functioneren als een toegangspoort voor monitoringapparatuur die wordt gebruikt om inline-gegevens te verzamelen, waaronder inbraakdetectiesystemen, inbraakpreventiesystemen die in passieve modus zijn geïmplementeerd, protocolanalysatoren en tools voor monitoring op afstand. (bron: NetOptics).
Uit de bovenstaande drie definities kunnen we in principe een aantal kenmerken van Network TAP afleiden: hardware, inline, transparant
Hieronder een overzicht van deze functies:
1. Het is een onafhankelijk stuk hardware en heeft daardoor geen invloed op de belasting van bestaande netwerkapparaten, wat grote voordelen biedt ten opzichte van port mirroring.
2. Het is een inline-apparaat. Simpel gezegd, het moet op het netwerk worden aangesloten, wat begrijpelijk is. Dit heeft echter ook als nadeel dat er een potentieel storingspunt ontstaat. Omdat het een online apparaat is, moet het netwerk, afhankelijk van de locatie, mogelijk worden onderbroken tijdens de implementatie.
3. Transparantie verwijst naar de verwijzing naar het huidige netwerk. Toegangsnetwerken na shunting hebben geen enkel effect op het huidige netwerk voor alle apparatuur; voor hen is het volledig transparant. Natuurlijk bevat het ook netwerkverkeer dat naar de monitoringapparatuur wordt gestuurd. De monitoringapparatuur is transparant voor het netwerk. Het is alsof je een nieuw stopcontact gebruikt; voor andere bestaande apparaten gebeurt er niets, zelfs niet wanneer je uiteindelijk een apparaat verwijdert en je je plotseling het gedicht herinnert: "Wapper met je mouw en er is geen wolk"...
Veel mensen zijn bekend met port mirroring. Ja, port mirroring kan hetzelfde effect bereiken. Hier volgt een vergelijking tussen netwerktaps/diverters en port mirroring:
1. Omdat de poort van de switch zelf sommige foutieve pakketten en pakketten met een te kleine omvang filtert, kan poortspiegeling niet garanderen dat al het verkeer wordt ontvangen. De shunter zorgt echter wel voor de integriteit van de gegevens, omdat deze volledig worden "gekopieerd" op de fysieke laag.
2. Wat betreft realtime prestaties kan poortspiegeling op sommige low-end switches vertragingen veroorzaken bij het kopiëren van verkeer naar spiegelpoorten, en ook bij het kopiëren van 10/100M-poorten naar GIGA-poorten.
3. Poortspiegeling vereist dat de bandbreedte van een gespiegelde poort groter is dan of gelijk is aan de som van de bandbreedtes van alle gespiegelde poorten. Het is echter mogelijk dat niet alle switches aan deze vereiste voldoen.
4. Poortspiegeling moet op de switch worden geconfigureerd. Wanneer de te bewaken gebieden moeten worden aangepast, moet de switch opnieuw worden geconfigureerd.
Geplaatst op: 05-08-2022
