Para analisar o tráfego de rede, é necessário enviar o pacote de rede para o NTOP/NPROBE ou para ferramentas de monitoramento e segurança de rede fora de banda. Existem duas soluções para esse problema:
Espelhamento de portas(também conhecido como SPAN)
Conexão de rede(também conhecido como Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Antes de explicar as diferenças entre as duas soluções (Port Mirror e Network Tap), é importante entender como funciona o Ethernet. Em velocidades de 100 Mbit/s e superiores, os hosts geralmente se comunicam em modo full-duplex, o que significa que um host pode enviar (Tx) e receber (Rx) dados simultaneamente. Isso significa que, em um cabo de 100 Mbit/s conectado a um host, a quantidade total de tráfego de rede que esse host pode enviar/receber (Tx/Rx) é de 2 × 100 Mbit/s = 200 Mbit/s.
O espelhamento de portas é uma replicação ativa de pacotes, o que significa que o dispositivo de rede é fisicamente responsável por copiar o pacote para a porta espelhada.
Isso significa que o dispositivo deve executar essa tarefa usando algum recurso (como a CPU), e ambas as direções de tráfego serão replicadas para a mesma porta. Como mencionado anteriormente, em um link full-duplex, isso significa que
A -> B e B -> A
A soma de A não excederá a velocidade da rede antes que ocorra perda de pacotes. Isso ocorre porque fisicamente não há espaço para copiar pacotes. Acontece que o espelhamento de portas é uma ótima técnica, pois pode ser executado por muitos switches (mas não todos), já que a maioria dos switches apresenta a desvantagem da perda de pacotes se você monitorar um link com carga acima de 50% ou espelhar as portas em uma porta mais rápida (por exemplo, espelhar portas de 100 Mbit em uma porta de 1 Gbit). Sem mencionar que o espelhamento de pacotes pode exigir a troca de recursos entre switches, o que pode sobrecarregar o dispositivo e causar degradação no desempenho da troca. Observe que você pode conectar uma porta a outra ou uma VLAN a outra, mas geralmente não é possível copiar várias portas para uma só. (Portanto, o espelhamento de pacotes) está ausente.
Um TAP de rede (Ponto de Acesso Terminal)Um TAP (Network TAP) é um dispositivo de hardware totalmente passivo, capaz de capturar tráfego em uma rede de forma passiva. É comumente usado para monitorar o tráfego entre dois pontos na rede. Se a rede entre esses dois pontos consistir em um cabo físico, um TAP pode ser a melhor maneira de capturar o tráfego.
O TAP de rede possui pelo menos três portas: uma porta A, uma porta B e uma porta de monitoramento. Para instalar um TAP entre os pontos A e B, o cabo de rede entre eles é substituído por um par de cabos, um conectado à porta A do TAP e o outro à porta B. O TAP encaminha todo o tráfego entre os dois pontos de rede, mantendo-os conectados entre si. O TAP também copia o tráfego para sua porta de monitoramento, permitindo que um dispositivo de análise o monitore.
Os TAPs de rede são comumente usados por dispositivos de monitoramento e coleta, como os APS. Os TAPs também podem ser usados em aplicações de segurança porque não são intrusivos, não são detectáveis na rede, podem lidar com redes full-duplex e não compartilhadas e geralmente permitem a passagem do tráfego mesmo se o TAP parar de funcionar ou perder energia.
Como as portas Network Tap não recebem, apenas transmitem, o switch não tem como saber quem está conectado a elas. Consequentemente, ele retransmite os pacotes para todas as portas. Portanto, se você conectar seu dispositivo de monitoramento ao switch, esse dispositivo receberá todos os pacotes. Observe que esse mecanismo funciona se o dispositivo de monitoramento não enviar nenhum pacote para o switch; caso contrário, o switch assumirá que os pacotes interceptados não são destinados a esse dispositivo. Para evitar isso, você pode usar um cabo de rede sem os fios de transmissão (TX) conectados ou usar uma interface de rede sem IP (e sem DHCP) que não transmita pacotes. Por fim, observe que, se você deseja usar um tap para não perder pacotes, não combine as direções ou use um switch onde as direções de tap sejam mais lentas (por exemplo, 100 Mbit/s) do que a porta de combinação (por exemplo, 1 Gbit/s).
Então, como capturar tráfego de rede? Taps de rede vs. espelhamento de portas de switch
1- Configuração fácil: Network Tap > Espelhamento de porta
2- Influência no desempenho da rede: Network Tap < Port Mirror
3- Capacidade de Captura, Replicação, Agregação e Encaminhamento: Network Tap > Espelhamento de Porta
4- Latência de encaminhamento de tráfego: Network Tap < Espelhamento de porta
5- Capacidade de pré-processamento de tráfego: Network Tap > Port Mirror
Data da publicação: 30 de março de 2022
