Para analizar el tráfico de red, es necesario enviar el paquete de red a NTOP/NPROBE o a las Herramientas de Seguridad y Monitoreo de Red Fuera de Banda. Existen dos soluciones para este problema:
Duplicación de puertos(también conocido como SPAN)
Grifo de red(también conocido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar las diferencias entre las dos soluciones (espejo de puerto y toma de red), es importante comprender el funcionamiento de Ethernet. A 100 Mbit o más, los hosts suelen comunicarse en dúplex completo, lo que significa que un host puede enviar (Tx) y recibir (Rx) simultáneamente. Esto significa que, en un cable de 100 Mbit conectado a un host, la cantidad total de tráfico de red que un host puede enviar/recibir (Tx/Rx) es 2 × 100 Mbit = 200 Mbit.
La duplicación de puertos es una replicación activa de paquetes, lo que significa que el dispositivo de red es físicamente responsable de copiar el paquete al puerto reflejado.
Esto significa que el dispositivo debe realizar esta tarea utilizando algún recurso (como la CPU), y ambas direcciones de tráfico se replicarán en el mismo puerto. Como se mencionó anteriormente, en un enlace dúplex completo, esto significa que
A -> B y B -> A
La suma de A no superará la velocidad de la red antes de que se produzca la pérdida de paquetes. Esto se debe a que físicamente no hay espacio para copiar paquetes. Resulta que la duplicación de puertos es una excelente técnica, ya que puede ser realizada por muchos conmutadores (pero no todos), ya que la mayoría de los conmutadores tienen la desventaja de la pérdida de paquetes si se supervisa un enlace con más del 50 % de carga o se duplican los puertos en un puerto más rápido (por ejemplo, se duplican puertos de 100 Mbit en un puerto de 1 Gbit). Sin mencionar que la duplicación de paquetes puede requerir el intercambio de recursos de los conmutadores, lo que puede sobrecargar el dispositivo y causar una degradación del rendimiento del intercambio. Tenga en cuenta que puede conectar un puerto a otro puerto, o una VLAN a un puerto, pero generalmente no puede copiar muchos puertos a uno. (Por lo tanto, falta la duplicación de paquetes).
Un TAP (punto de acceso terminal) de redEs un dispositivo de hardware totalmente pasivo que puede capturar tráfico de forma pasiva en una red. Se utiliza comúnmente para monitorizar el tráfico entre dos puntos de la red. Si la red entre estos dos puntos consiste en un cable físico, un TAP de red puede ser la mejor manera de capturar el tráfico.
El TAP de red tiene al menos tres puertos: un puerto A, un puerto B y un puerto de monitorización. Para colocar un tap entre los puntos A y B, el cable de red entre ambos se sustituye por un par de cables: uno conectado al puerto A del TAP y el otro al puerto B. El TAP transmite todo el tráfico entre ambos puntos de red, de modo que siguen conectados. El TAP también copia el tráfico a su puerto de monitorización, lo que permite que un dispositivo de análisis lo escuche.
Los TAP de red son comúnmente utilizados por dispositivos de monitoreo y recopilación de datos como APS. Los TAP también se pueden usar en aplicaciones de seguridad porque no son intrusivos, no son detectables en la red, son compatibles con redes full-duplex y no compartidas, y generalmente transfieren el tráfico incluso si el TAP deja de funcionar o se corta la alimentación.
Como los puertos Network Taps no reciben sino solo transmiten, el switch no tiene idea de quién está sentado detrás de los puertos. La consecuencia es que transmite los paquetes a todos los puertos. Por lo tanto, si conecta su dispositivo de monitoreo al switch, dicho dispositivo recibirá todos los paquetes. Tenga en cuenta que este mecanismo funciona si el dispositivo de monitoreo no envía ningún paquete al switch; de lo contrario, el switch asumirá que los paquetes interceptados no son para dicho dispositivo. Para lograr esto, puede usar un cable de red en el que no haya conectado los cables TX o usar una interfaz de red sin IP (y sin DHCP) que no transmita paquetes en absoluto. Finalmente, tenga en cuenta que si desea usar un tap para no perder paquetes, entonces no fusione direcciones o use un switch donde las direcciones interceptadas sean más lentas (por ejemplo, 100 Mbit) que el puerto de fusión (por ejemplo, 1 Gbit).
Entonces, ¿cómo capturar el tráfico de red? Tomas de red vs. puertos espejo de switch
1- Configuración fácil: Toque de red > Espejo de puerto
2- Influencia en el rendimiento de la red: Tap de red < Espejo de puerto
3- Capacidad de captura, replicación, agregación y reenvío: Conexión de red > Espejo de puerto
4- Latencia de reenvío de tráfico: Conexión de red < Espejo de puerto
5- Capacidad de preprocesamiento de tráfico: Tap de red > Espejo de puerto
Hora de publicación: 30 de marzo de 2022
