Afin d'analyser le trafic réseau, il est nécessaire d'envoyer le paquet réseau à NTOP/NPROBE ou Out-of-band Network Security and Monitoring Tools. Il existe deux solutions à ce problème :
Mise en miroir des ports(également connu sous le nom de SPAN)
Robinet réseau(également connu sous le nom de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Avant d'expliquer les différences entre les deux solutions (Port Mirror et Network Tap), il est important de comprendre le fonctionnement d'Ethernet. À 100 Mbits et plus, les hôtes parlent généralement en duplex intégral, ce qui signifie qu'un hôte peut envoyer (Tx) et recevoir (Rx) simultanément. Cela signifie que sur un câble de 100 Mbits connecté à un hôte, la quantité totale de trafic réseau qu'un hôte peut envoyer/recevoir (Tx/Rx)) est de 2 × 100 Mbits = 200 Mbits.
La mise en miroir des ports est une réplication active des paquets, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet sur le port mis en miroir.
Cela signifie que le périphérique doit effectuer cette tâche en utilisant certaines ressources (telles que le processeur) et que les deux sens du trafic seront répliqués sur le même port. Comme mentionné précédemment, dans Une liaison full duplex, cela signifie que
A -> B et B -> A
La somme de A ne dépassera pas la vitesse du réseau avant que la perte de paquets ne se produise. En effet, il n'y a physiquement aucun espace pour copier les paquets. Il s'avère que la mise en miroir des ports est une excellente technique car elle peut être effectuée par de nombreux commutateurs (mais pas tous), car la plupart des commutateurs présentent l'inconvénient de perdre des paquets, si vous surveillez une liaison avec une charge supérieure à 50 % ou si vous mettez en miroir le port. ports sur un port plus rapide (par exemple, miroir des ports 100 Mbit sur un port 1 Gbit). Sans oublier que la mise en miroir de paquets peut nécessiter l’échange de ressources de commutateurs, ce qui peut charger le périphérique et entraîner une dégradation des performances d’échange. Notez que vous pouvez connecter 1 port à un port ou 1 VLAN à un port, mais vous ne pouvez généralement pas copier plusieurs ports sur 1. (Ainsi que le miroir de paquets) est manquant.
Un TAP réseau (Terminal Access Point)est un périphérique matériel entièrement passif, capable de capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si le réseau entre ces deux points est constitué d'un câble physique, un TAP réseau peut être le meilleur moyen de capter le trafic.
Le réseau TAP possède au moins trois ports : un port A, un port B et un port moniteur. Pour placer un tap entre les points A et B, le câble réseau entre le point A et le point B est remplacé par une paire de câbles, l'un allant au port A du TAP, l'autre allant au port B du TAP. Le TAP transmet tout le trafic entre les deux points du réseau, ils restent donc connectés l'un à l'autre. Le TAP copie également le trafic sur son port de surveillance, permettant ainsi à un dispositif d'analyse d'écouter.
Les TAP réseau sont couramment utilisés par les dispositifs de surveillance et de collecte tels que l'APS. Les TAP peuvent également être utilisés dans les applications de sécurité car ils sont non intrusifs, ne sont pas détectables sur le réseau, peuvent gérer des réseaux full duplex et non partagés et transmettent généralement le trafic même si le tap cesse de fonctionner ou perd de l'alimentation. .
Comme les ports Network Taps ne reçoivent pas mais transmettent uniquement, le commutateur n'a aucune idée de qui se trouve derrière les ports. La conséquence est qu'il diffuse les paquets vers tous les ports. Par conséquent, si vous connectez votre appareil de surveillance au commutateur, cet appareil recevra tous les paquets. Notez que ce mécanisme fonctionne si le périphérique de surveillance n'envoie aucun paquet au commutateur ; sinon, le commutateur supposera que les paquets exploités ne sont pas destinés à un tel périphérique. Pour y parvenir, vous pouvez soit utiliser un câble réseau sur lequel vous n'avez pas connecté les fils TX, soit utiliser une interface réseau sans IP (et sans DHCP) qui ne transmet pas du tout de paquets. Notez enfin que si vous souhaitez utiliser un tap pour ne pas perdre de paquets, alors soit ne fusionnez pas les directions, soit utilisez un commutateur où les directions tapées sont plus lentes (par exemple 100 Mbit) que le port de fusion (par exemple 1 Gbit).
Alors, comment capturer le trafic réseau ? Prises réseau vs miroir des ports de commutation
1- Configuration facile : Appuyez sur Réseau > Port Mirror
2- Influence sur les performances du réseau : prise réseau < miroir de port
3- Capture, réplication, agrégation, capacité de transfert : appuyez sur Réseau > Miroir de port
4- Latence de transfert de trafic : appuyez sur le réseau < Port Mirror
5- Capacité de prétraitement du trafic : appuyez sur Réseau > Miroir de port
Heure de publication : 30 mars 2022