Para analisar o tráfego de rede, é necessário enviar o pacote de rede para o NTOP/NPROBE ou para as Ferramentas de Segurança e Monitoramento de Redes Fora de Banda. Há duas soluções para esse problema:
Espelhamento de porta(também conhecido como SPAN)
Toque de rede(também conhecido como Tap de replicação, Tap de agregação, Tap ativo, Tap de cobre, Tap Ethernet, etc.)
Antes de explicar as diferenças entre as duas soluções (Port Mirror e Network Tap), é importante entender como a Ethernet funciona. A 100 Mbits ou mais, os hosts geralmente se comunicam em full duplex, o que significa que um host pode enviar (Tx) e receber (Rx) simultaneamente. Isso significa que, em um cabo de 100 Mbits conectado a um host, a quantidade total de tráfego de rede que um host pode enviar/receber (Tx/Rx) é 2 × 100 Mbits = 200 Mbits.
O espelhamento de porta é uma replicação ativa de pacotes, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.
Isso significa que o dispositivo deve executar essa tarefa usando algum recurso (como a CPU), e ambas as direções de tráfego serão replicadas para a mesma porta. Como mencionado anteriormente, em um link full duplex, isso significa que
A -> B e B -> A
A soma de A não excederá a velocidade da rede antes que ocorra a perda de pacotes. Isso ocorre porque não há espaço físico para copiar os pacotes. Acontece que o espelhamento de portas é uma ótima técnica, pois pode ser realizada por muitos switches (mas não todos), pois a maioria dos switches tem a desvantagem de perda de pacotes se você monitorar um link com mais de 50% de carga ou espelhar as portas em uma porta mais rápida (por exemplo, espelhar portas de 100 Mbit em uma porta de 1 Gbit). Sem mencionar que o espelhamento de pacotes pode exigir a troca de recursos dos switches, o que pode sobrecarregar o dispositivo e causar degradação do desempenho da troca. Observe que você pode conectar 1 porta a uma porta ou 1 VLAN a uma porta, mas geralmente não pode copiar muitas portas para 1. (Portanto, como o espelhamento de pacotes) está ausente.
Um TAP de rede (Ponto de acesso ao terminal)é um dispositivo de hardware totalmente passivo, capaz de capturar passivamente o tráfego em uma rede. É comumente usado para monitorar o tráfego entre dois pontos na rede. Se a rede entre esses dois pontos consistir em um cabo físico, um TAP de rede pode ser a melhor maneira de capturar o tráfego.
O TAP da rede possui pelo menos três portas: uma porta A, uma porta B e uma porta de monitor. Para colocar um tap entre os pontos A e B, o cabo de rede entre os pontos A e B é substituído por um par de cabos, um indo para a porta A do TAP e o outro para a porta B do TAP. O TAP passa todo o tráfego entre os dois pontos da rede, de forma que eles permaneçam conectados entre si. O TAP também copia o tráfego para sua porta de monitor, permitindo assim que um dispositivo de análise escute.
TAPs de rede são comumente usados por dispositivos de monitoramento e coleta, como APS. Eles também podem ser usados em aplicações de segurança porque não são intrusivos, não são detectáveis na rede, podem lidar com redes full-duplex e não compartilhadas e geralmente passam tráfego mesmo se o tap parar de funcionar ou ficar sem energia.
Como as portas de Taps de Rede não recebem, mas apenas transmitem, o switch não tem ideia de quem está por trás das portas. A consequência é que ele transmite os pacotes para todas as portas. Portanto, se você conectar seu dispositivo de monitoramento ao switch, esse dispositivo receberá todos os pacotes. Observe que esse mecanismo funciona se o dispositivo de monitoramento não enviar nenhum pacote ao switch; caso contrário, o switch presumirá que os pacotes interceptados não são para esse dispositivo. Para conseguir isso, você pode usar um cabo de rede no qual não tenha conectado os fios TX ou usar uma interface de rede sem IP (e sem DHCP) que não transmita pacotes. Por fim, observe que, se você quiser usar um tap para não perder pacotes, não mescle as direções ou use um switch onde as direções interceptadas sejam mais lentas (por exemplo, 100 Mbit) do que a porta de mesclagem (por exemplo, 1 Gbit).
Então, como capturar o tráfego de rede? Taps de rede vs. portas de switch espelhadas
1- Configuração fácil: Network Tap > Port Mirror
2- Influência no desempenho da rede: Tap de rede < espelho de porta
3- Capacidade de Captura, Replicação, Agregação e Encaminhamento: Network Tap > Port Mirror
4- Latência de Encaminhamento de Tráfego: Tap de Rede < Espelho de Porta
5- Capacidade de Pré-processamento de Tráfego: Network Tap > Port Mirror
Data de publicação: 30 de março de 2022
