A NetwerktapEen Ethernet-tap, ook wel bekend als koper-tap of data-tap, is een apparaat dat in Ethernet-netwerken wordt gebruikt om netwerkverkeer vast te leggen en te monitoren. Het is ontworpen om toegang te bieden tot de gegevens die tussen netwerkapparaten stromen zonder de werking van het netwerk te verstoren.
Het primaire doel van een netwerktap is het dupliceren van netwerkpakketten en deze naar een monitoringsapparaat te sturen voor analyse of andere doeleinden. Een netwerktap wordt doorgaans tussen netwerkapparaten, zoals switches of routers, geplaatst en kan worden aangesloten op een monitoringsapparaat of netwerkanalysator.
Netwerktaps zijn er in zowel passieve als actieve varianten:
1.Passieve netwerktapsPassieve netwerktaps hebben geen externe voeding nodig en werken uitsluitend door het netwerkverkeer te splitsen of te dupliceren. Ze gebruiken technieken zoals optische koppeling of elektrische balancering om een kopie te maken van de pakketten die door de netwerkverbinding stromen. De gedupliceerde pakketten worden vervolgens doorgestuurd naar het monitoringapparaat, terwijl de originele pakketten hun normale verzending voortzetten.
De gangbare splitsingsverhoudingen die worden gebruikt bij passieve netwerkaftakkingen kunnen variëren afhankelijk van de specifieke toepassing en vereisten. Er zijn echter een paar standaard splitsingsverhoudingen die in de praktijk vaak voorkomen:
50:50
Dit is een evenwichtige splitsingsverhouding waarbij het optische signaal gelijkmatig wordt verdeeld: 50% gaat naar het hoofdnetwerk en 50% wordt afgetapt voor monitoring. Dit zorgt voor een gelijke signaalsterkte voor beide paden.
70:30
Bij deze verhouding wordt ongeveer 70% van het optische signaal naar het hoofdnetwerk geleid, terwijl de resterende 30% wordt gebruikt voor monitoring. Hierdoor is een groter deel van het signaal beschikbaar voor het hoofdnetwerk, terwijl er toch mogelijkheden voor monitoring blijven bestaan.
90:10
Deze verhouding wijst het grootste deel van het optische signaal, ongeveer 90%, toe aan het hoofdnetwerk, terwijl slechts 10% wordt afgetapt voor monitoringdoeleinden. Het geeft prioriteit aan de signaalintegriteit voor het hoofdnetwerk, terwijl een kleiner deel beschikbaar wordt gesteld voor monitoring.
95:05
Net als bij de 90:10-verhouding wordt bij deze splitsingsverhouding 95% van het optische signaal naar het hoofdnetwerk gestuurd en 5% gereserveerd voor monitoring. Dit heeft een minimale impact op het signaal van het hoofdnetwerk, terwijl een klein deel beschikbaar blijft voor analyse- of monitoringdoeleinden.
2.Actieve netwerktapsActieve netwerktaps dupliceren niet alleen pakketten, maar bevatten ook actieve componenten en circuits om hun functionaliteit te verbeteren. Ze kunnen geavanceerde functies bieden zoals verkeersfiltering, protocolanalyse, taakverdeling of pakketaggregatie. Actieve taps hebben doorgaans externe voeding nodig om deze extra functies te laten werken.
Netwerktaps ondersteunen diverse Ethernet-protocollen, waaronder Ethernet, TCP/IP, VLAN en andere. Ze kunnen verschillende netwerksnelheden aan, variërend van lagere snelheden zoals 10 Mbps tot hogere snelheden zoals 100 Gbps of meer, afhankelijk van het specifieke tapmodel en de mogelijkheden ervan.
Het vastgelegde netwerkverkeer kan worden gebruikt voor netwerkmonitoring, het oplossen van netwerkproblemen, het analyseren van prestaties, het detecteren van beveiligingsrisico's en het uitvoeren van netwerkforensisch onderzoek. Netwerktaps worden veelvuldig gebruikt door netwerkbeheerders, beveiligingsprofessionals en onderzoekers om inzicht te krijgen in het netwerkgedrag en om de netwerkprestaties, -beveiliging en -naleving te waarborgen.
Wat is dan het verschil tussen een passieve netwerktap en een actieve netwerktap?
A Passieve netwerktapHet is een eenvoudiger apparaat dat netwerkpakketten dupliceert zonder extra verwerkingsmogelijkheden en geen externe voeding nodig heeft.
An Actieve netwerktapAan de andere kant bevat een ander systeem actieve componenten, vereist stroom en biedt geavanceerde functies voor een uitgebreidere netwerkmonitoring en -analyse. De keuze tussen de twee hangt af van de specifieke monitoringvereisten, de gewenste functionaliteit en de beschikbare middelen.
Passieve netwerktapVSActieve netwerktap
| Passieve netwerktap | Actieve netwerktap | |
|---|---|---|
| Functionaliteit | Een passieve netwerktap werkt door het netwerkverkeer te splitsen of te dupliceren zonder de pakketten te wijzigen of aan te passen. Het maakt simpelweg een kopie van de pakketten en stuurt deze naar het monitoringapparaat, terwijl de originele pakketten hun normale verzending voortzetten. | Een actieve netwerktap gaat verder dan eenvoudige pakketduplicatie. Het bevat actieve componenten en circuits om de functionaliteit te verbeteren. Actieve taps kunnen functies bieden zoals verkeersfiltering, protocolanalyse, taakverdeling, pakketaggregatie en zelfs pakketmodificatie of -injectie. |
| Stroombehoefte | Passieve netwerktaps hebben geen externe voeding nodig. Ze zijn ontworpen om passief te werken en vertrouwen op technieken zoals optische koppeling of elektrische balancering om de gedupliceerde pakketten te creëren. | Actieve netwerktaps hebben externe voeding nodig om hun extra functies en actieve componenten te laten werken. Ze moeten mogelijk op een stroombron worden aangesloten om de gewenste functionaliteit te bieden. |
| Pakketwijziging | Wijzigt of injecteert geen pakketten. | Kan pakketten wijzigen of injecteren, indien ondersteund. |
| Filtermogelijkheid | Beperkte of geen filtermogelijkheden | Pakketten kunnen worden gefilterd op basis van specifieke criteria. |
| Realtime analyse | Geen mogelijkheid tot realtime analyse | Kan realtime analyses van netwerkverkeer uitvoeren. |
| Aggregatie | Geen mogelijkheid tot pakketaggregatie | Kan pakketten van meerdere netwerkverbindingen samenvoegen. |
| Taakverdeling | Geen mogelijkheid tot load balancing | Kan de belasting verdelen over meerdere bewakingsapparaten. |
| Protocolanalyse | Beperkte of geen mogelijkheden voor protocolanalyse | Biedt diepgaande protocolanalyse en decodering. |
| Netwerkstoring | Niet-invasief, geen verstoring van het netwerk | Kan lichte verstoringen of vertragingen in het netwerk veroorzaken. |
| Flexibiliteit | Beperkte flexibiliteit qua functies | Biedt meer controle en geavanceerde functionaliteit. |
| Kosten | Over het algemeen voordeliger | Doorgaans hogere kosten vanwege extra functies. |
Geplaatst op: 7 november 2023
