Aby monitorować ruch sieciowy, na przykład analizując zachowania użytkowników online, monitorując nietypowy ruch i monitorując aplikacje sieciowe, konieczne jest zbieranie danych o ruchu sieciowym. Przechwytywanie ruchu sieciowego może być niedokładne. W rzeczywistości konieczne jest skopiowanie bieżącego ruchu sieciowego i przesłanie go do urządzenia monitorującego. Rozdzielacz sieciowy, znany również jako Network TAP, wykonuje właśnie to zadanie. Przyjrzyjmy się definicji Network TAP:
I. Network Tap to urządzenie sprzętowe umożliwiające dostęp do danych przesyłanych przez sieć komputerową. (źródło: Wikipedia)
II.ADotknij sieci, znany również jako port dostępu testowego, to urządzenie sprzętowe, które podłącza się bezpośrednio do kabla sieciowego i przesyła fragment komunikacji sieciowej do innych urządzeń. Rozdzielacze sieciowe są powszechnie stosowane w systemach wykrywania włamań do sieci (IPS), detektorach sieciowych i profilerach. Replikacja komunikacji z urządzeniami sieciowymi odbywa się obecnie zazwyczaj za pomocą analizatora portów przełączających (portu rozpiętego), znanego również jako dublowanie portów w przełączaniu sieciowym.
III. Punkty dostępu sieciowego służą do tworzenia stałych portów dostępu do pasywnego monitoringu. Punkt dostępu, czyli testowy port dostępu, można skonfigurować między dowolnymi dwoma urządzeniami sieciowymi, takimi jak przełączniki, routery i zapory sieciowe. Może on pełnić funkcję portu dostępu dla urządzeń monitorujących, służących do gromadzenia danych w trybie inline, w tym systemów wykrywania włamań (ISD), systemów zapobiegania włamaniom (ISP) wdrożonych w trybie pasywnym, analizatorów protokołów i narzędzi do zdalnego monitoringu (firmy NetOptics).
Z powyższych trzech definicji możemy wywnioskować kilka cech Network TAP: sprzętowy, wbudowany, transparentny
Oto przegląd tych funkcji:
1. Jest to niezależny element sprzętowy, dzięki czemu nie ma wpływu na obciążenie istniejących urządzeń sieciowych, co daje duże korzyści w porównaniu z dublowaniem portów.
2. Jest to urządzenie in-line. Mówiąc prościej, musi być podłączone do sieci, co jest zrozumiałe. Ma to jednak również wadę w postaci tworzenia punktu awarii, a ponieważ jest to urządzenie online, bieżąca sieć musi zostać przerwana w momencie wdrożenia, w zależności od miejsca wdrożenia.
3. Przezroczystość odnosi się do wskaźnika do bieżącej sieci. Sieci dostępowe po bocznikowaniu, bieżąca sieć dla wszystkich urządzeń, nie ma żadnego wpływu, dla nich jest całkowicie przezroczysta. Oczywiście zawiera również bocznikowanie sieciowe, które wysyła ruch do urządzeń monitorujących. Urządzenie monitorujące sieć jest przezroczyste, tak jakbyś miał dostęp do nowego gniazdka elektrycznego. Dla innych istniejących urządzeń nic się nie dzieje, nawet gdy w końcu odłączysz urządzenie i nagle przypomnisz sobie wiersz: „Machaj rękawem, a nie chmurą”.
Wiele osób zna funkcję port mirroring. Tak, port mirroring również może osiągnąć ten sam efekt. Oto porównanie funkcji Network Tap/Diverter i Port Mirroring:
1. Ponieważ port samego przełącznika będzie filtrował niektóre pakiety błędów i pakiety o zbyt małym rozmiarze, funkcja port mirroring nie gwarantuje, że cały ruch zostanie odebrany. Shunter zapewnia jednak integralność danych, ponieważ są one w całości „kopiowane” w warstwie fizycznej.
2. W przypadku niektórych przełączników niższej klasy, jeśli chodzi o wydajność w czasie rzeczywistym, dublowanie portów może powodować opóźnienia podczas kopiowania ruchu do portów dublowanych, a także opóźnienia podczas kopiowania portów 10/100 m do portów GIGA
3. Mirroring portów wymaga, aby przepustowość zdublowanego portu była większa lub równa sumie przepustowości wszystkich zdublowanych portów. Jednak wymóg ten może nie być spełniony przez wszystkie przełączniki.
4. Na przełączniku należy skonfigurować funkcję dublowania portów. Po dostosowaniu obszarów do monitorowania należy ponownie skonfigurować przełącznik.
Czas publikacji: 05.08.2022
