Para analizar el tráfico de red, es necesario enviar el paquete de red a NTOP/NPROBE o a herramientas de seguridad y monitorización de red fuera de banda. Hay dos soluciones para este problema:
Duplicación de puertos(también conocido como SPAN)
Conexión de red(también conocido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar las diferencias entre las dos soluciones (Duplicación de Puertos y Derivación de Red), es importante comprender cómo funciona Ethernet. A 100 Mbit/s o más, los hosts suelen comunicarse en modo dúplex completo, lo que significa que un host puede enviar (Tx) y recibir (Rx) simultáneamente. Esto implica que, en un cable de 100 Mbit/s conectado a un host, la cantidad total de tráfico de red que un host puede enviar/recibir (Tx/Rx) es de 2 × 100 Mbit/s = 200 Mbit/s.
La duplicación de puertos es una replicación activa de paquetes, lo que significa que el dispositivo de red es el responsable físico de copiar el paquete al puerto duplicado.
Esto significa que el dispositivo debe realizar esta tarea utilizando algún recurso (como la CPU), y ambas direcciones de tráfico se replicarán en el mismo puerto. Como se mencionó anteriormente, en un enlace dúplex completo, esto significa que
A -> B y B -> A
La suma de A no superará la velocidad de la red antes de que se produzca la pérdida de paquetes. Esto se debe a que físicamente no hay espacio para copiar paquetes. Resulta que la duplicación de puertos es una técnica excelente, ya que muchos conmutadores (aunque no todos) pueden realizarla, porque la mayoría de los conmutadores tienen el inconveniente de la pérdida de paquetes si se monitoriza un enlace con más del 50 % de carga, o se duplican los puertos en un puerto más rápido (por ejemplo, duplicar puertos de 100 Mbit en un puerto de 1 Gbit). Sin mencionar que la duplicación de paquetes puede requerir el intercambio de recursos de los conmutadores, lo que puede sobrecargar el dispositivo y provocar una degradación del rendimiento del intercambio. Tenga en cuenta que puede conectar 1 puerto a un puerto, o 1 VLAN a un puerto, pero generalmente no puede copiar muchos puertos a 1. (Por lo tanto, la duplicación de paquetes) está ausente.
Un TAP de red (Punto de acceso terminal)Es un dispositivo de hardware totalmente pasivo que permite capturar el tráfico de una red de forma pasiva. Se utiliza habitualmente para monitorizar el tráfico entre dos puntos de la red. Si la red entre estos dos puntos consiste en un cable físico, un TAP de red puede ser la mejor opción para capturar el tráfico.
El punto de acceso de red (TAP) tiene al menos tres puertos: un puerto A, un puerto B y un puerto de monitorización. Para instalar un TAP entre los puntos A y B, se reemplaza el cable de red existente por un par de cables: uno conectado al puerto A del TAP y el otro al puerto B. El TAP transmite todo el tráfico entre ambos puntos de red, manteniendo así la conexión entre ellos. Además, el TAP copia el tráfico a su puerto de monitorización, lo que permite que un dispositivo de análisis lo intercepte.
Los TAP de red son utilizados habitualmente por dispositivos de monitorización y recopilación de datos, como los sistemas APS. También pueden emplearse en aplicaciones de seguridad, ya que son discretos, indetectables en la red, compatibles con redes full-duplex y no compartidas, y suelen permitir el paso del tráfico incluso si el dispositivo deja de funcionar o pierde alimentación.
Dado que los puertos Network Taps solo transmiten y no reciben, el switch desconoce quién está conectado a ellos. En consecuencia, reenvía los paquetes a todos los puertos. Por lo tanto, si conecta su dispositivo de monitorización al switch, este recibirá todos los paquetes. Tenga en cuenta que este mecanismo funciona si el dispositivo de monitorización no envía ningún paquete al switch; de lo contrario, el switch asumirá que los paquetes interceptados no están destinados a dicho dispositivo. Para lograrlo, puede usar un cable de red sin cables TX conectados o una interfaz de red sin IP (ni DHCP) que no transmita paquetes. Finalmente, si desea usar un tap para evitar la pérdida de paquetes, no combine las direcciones o use un switch donde las direcciones interceptadas sean más lentas (por ejemplo, 100 Mbit/s) que el puerto de combinación (por ejemplo, 1 Gbit/s).
Entonces, ¿cómo capturar el tráfico de red? Interceptores de red frente a espejos de puertos de conmutador
1- Configuración sencilla: Network Tap > Duplicación de puertos
2- Influencia en el rendimiento de la red: Derivación de red < Duplicación de puerto
3- Capacidad de captura, replicación, agregación y reenvío: Intercepción de red > Duplicación de puerto
4- Latencia de reenvío de tráfico: Derivación de red < Duplicación de puerto
5- Capacidad de preprocesamiento de tráfico: Derivación de red > Duplicación de puerto
Fecha de publicación: 30 de marzo de 2022
