Para analizar el tráfico de la red, es necesario enviar el paquete de red a NTOP/NPROBE o herramientas de monitoreo y seguridad de red fuera de banda. Hay dos soluciones a este problema:
Duplicación de puertos(también conocido como SPAN)
Grifo de red(también conocido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar las diferencias entre las dos soluciones (Port Mirror y Network Tap), es importante comprender cómo funciona Ethernet. A 100 Mbit y más, los hosts generalmente hablan en dúplex completo, lo que significa que un host puede enviar (Tx) y recibir (Rx) simultáneamente. Esto significa que en un cable de 100 Mbit conectado a un host, la cantidad total de tráfico de red que un host puede enviar/recibir (Tx/Rx)) es 2 × 100 Mbit = 200 Mbit.
La duplicación de puertos es una replicación activa de paquetes, lo que significa que el dispositivo de red es físicamente responsable de copiar el paquete al puerto duplicado.
Esto significa que el dispositivo debe realizar esta tarea utilizando algún recurso (como la CPU) y ambas direcciones de tráfico se replicarán en el mismo puerto. Como se mencionó anteriormente, en un enlace full duplex, esto significa que
A -> B y B -> A
La suma de A no excederá la velocidad de la red antes de que se produzca la pérdida de paquetes. Esto se debe a que físicamente no hay espacio para copiar paquetes. Resulta que la duplicación de puertos es una gran técnica, ya que puede ser realizada por muchos conmutadores (pero no todos), porque la mayoría de los conmutadores tienen el inconveniente de la pérdida de paquetes, si monitorea un enlace con más del 50% de carga, o duplica el puertos en un puerto más rápido (por ejemplo, duplicar puertos de 100 Mbit en un puerto de 1 Gbit). Sin mencionar que la duplicación de paquetes puede requerir el intercambio de recursos de conmutadores, lo que puede cargar el dispositivo y hacer que el rendimiento del intercambio se degrade. Tenga en cuenta que puede conectar 1 puerto a un puerto, o 1 VLAN a un puerto, pero generalmente no puede copiar muchos puertos a 1. (Por lo tanto, falta el espejo de paquetes).
Un TAP de red (punto de acceso al terminal)es un dispositivo de hardware totalmente pasivo, que puede capturar pasivamente el tráfico en una red. Se utiliza comúnmente para monitorear el tráfico entre dos puntos de la red. Si la red entre estos dos puntos consta de un cable físico, un TAP de red puede ser la mejor manera de capturar el tráfico.
El TAP de red tiene al menos tres puertos: un puerto A, un puerto B y un puerto de monitor. Para colocar un grifo entre los puntos A y B, el cable de red entre el punto A y el punto B se reemplaza por un par de cables, uno que va al puerto A del TAP y el otro al puerto B del TAP. El TAP pasa todo el tráfico entre los dos puntos de la red, por lo que todavía están conectados entre sí. El TAP también copia el tráfico a su puerto de monitor, permitiendo así que un dispositivo de análisis escuche.
Los TAP de red se utilizan comúnmente en dispositivos de monitoreo y recopilación como APS. Los TAP también se pueden usar en aplicaciones de seguridad porque no son intrusivos, no son detectables en la red, pueden manejar redes full-duplex y no compartidas y, por lo general, transmitirán el tráfico incluso si el grifo deja de funcionar o se corta la energía. .
Como los puertos Network Taps no reciben sino que solo transmiten, el conmutador no tiene idea de quién está detrás de los puertos. La consecuencia es que transmite los paquetes a todos los puertos. Por lo tanto, si conecta su dispositivo de monitoreo al conmutador, dicho dispositivo recibirá todos los paquetes. Tenga en cuenta que este mecanismo funciona si el dispositivo de monitoreo no envía ningún paquete al conmutador; de lo contrario, el conmutador asumirá que los paquetes intervenidos no son para dicho dispositivo. Para lograrlo, puede usar un cable de red al que no haya conectado los cables TX o usar una interfaz de red sin IP (y sin DHCP) que no transmita ningún paquete. Finalmente, tenga en cuenta que si desea utilizar un toque para no perder paquetes, no combine las direcciones o use un conmutador donde las direcciones marcadas sean más lentas (por ejemplo, 100 Mbit) que el puerto de fusión (por ejemplo, 1 Gbit).
Entonces, ¿cómo capturar el tráfico de red? Grifos de red frente a espejo de puertos de conmutador
1- Configuración sencilla: Network Tap > Port Mirror
2- Influencia del rendimiento de la red: toma de red <espejo de puerto
3- Capacidad de captura, replicación, agregación y reenvío: toque de red > espejo de puerto
4- Latencia de reenvío de tráfico: toque de red <espejo de puerto
5- Capacidad de preprocesamiento del tráfico: Network Tap > Port Mirror
Hora de publicación: 30-mar-2022