Pour analyser le trafic réseau, il est nécessaire d'envoyer le paquet réseau à NTOP/NPROBE ou à des outils de sécurité et de surveillance réseau hors bande. Il existe deux solutions à ce problème :
Mise en miroir des ports(également connu sous le nom de SPAN)
Prise réseau(également connu sous le nom de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Avant d'expliquer les différences entre les deux solutions (mise en miroir de port et tap réseau), il est important de comprendre le fonctionnement d'Ethernet. À 100 Mbit/s et plus, les hôtes communiquent généralement en duplex intégral, ce qui signifie qu'un hôte peut émettre (Tx) et recevoir (Rx) simultanément. Ainsi, sur un câble de 100 Mbit/s connecté à un hôte, le volume total de trafic réseau qu'un hôte peut émettre/recevoir (Tx/Rx) est de 2 × 100 Mbit/s = 200 Mbit/s.
La mise en miroir des ports est une réplication active des paquets, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet sur le port en miroir.
Cela signifie que le périphérique doit effectuer cette tâche en utilisant des ressources (comme le processeur), et les deux sens de trafic seront répliqués sur le même port. Comme mentionné précédemment, dans une liaison full duplex, cela signifie que
A -> B et B -> A
La somme de A ne dépassera pas la vitesse du réseau avant qu'une perte de paquets ne se produise. En effet, il n'y a physiquement aucun espace pour copier les paquets. La mise en miroir des ports est une excellente technique, car elle peut être réalisée par de nombreux commutateurs (mais pas tous). La plupart d'entre eux présentent l'inconvénient de perdre des paquets si vous surveillez une liaison dont la charge est supérieure à 50 % ou mettez en miroir les ports sur un port plus rapide (par exemple, des ports 100 Mbit/s sur un port 1 Gbit/s). De plus, la mise en miroir des paquets peut nécessiter un échange de ressources de commutateur, ce qui peut surcharger le périphérique et dégrader les performances d'échange. Notez que vous pouvez connecter un port à un autre port, ou un VLAN à un port, mais vous ne pouvez généralement pas copier plusieurs ports sur un seul. (D'où l'absence de miroir de paquets).
Un TAP (point d'accès terminal) réseauIl s'agit d'un périphérique matériel entièrement passif capable de capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si le réseau reliant ces deux points est constitué d'un câble physique, un TAP réseau peut être la meilleure solution pour capturer le trafic.
Le TAP réseau possède au moins trois ports : un port A, un port B et un port de surveillance. Pour placer un TAP entre les points A et B, le câble réseau reliant les points A et B est remplacé par une paire de câbles, l'un reliant le port A au port B du TAP, l'autre le port B. Le TAP transmet tout le trafic entre les deux points réseau, qui restent ainsi connectés. Il copie également le trafic sur son port de surveillance, permettant ainsi à un appareil d'analyse de l'écouter.
Les TAP réseau sont couramment utilisés par les dispositifs de surveillance et de collecte tels que les APS. Ils peuvent également être utilisés dans les applications de sécurité car ils sont discrets, indétectables sur le réseau, compatibles avec les réseaux full duplex et non partagés, et transmettent généralement le trafic même en cas de panne de courant ou de panne de courant.
Comme les ports Network Taps ne reçoivent pas, mais transmettent uniquement, le commutateur ignore qui se trouve derrière ces ports. Par conséquent, il diffuse les paquets vers tous les ports. Par conséquent, si vous connectez votre périphérique de surveillance au commutateur, celui-ci recevra tous les paquets. Notez que ce mécanisme fonctionne si le périphérique de surveillance n'envoie aucun paquet au commutateur ; sinon, le commutateur considérera que les paquets tapés ne lui sont pas destinés. Pour ce faire, vous pouvez utiliser un câble réseau sans câbles TX, ou une interface réseau sans IP (et sans DHCP) qui ne transmet aucun paquet. Enfin, si vous souhaitez utiliser un tap pour éviter la perte de paquets, évitez de fusionner les directions ou utilisez un commutateur dont les directions tapées sont plus lentes (par exemple, 100 Mbit/s) que le port de fusion (par exemple, 1 Gbit/s).
Alors, comment capturer le trafic réseau ? Taps réseau ou miroir de ports de commutateur
1- Configuration facile : Network Tap > Port Mirror
2- Influence des performances du réseau : Tap réseau < Miroir de port
3- Capture, réplication, agrégation, capacité de transfert : Tap réseau > Miroir de port
4- Latence de transfert du trafic : Tap réseau < Miroir de port
5- Capacité de prétraitement du trafic : Tap réseau > Miroir de port
Date de publication : 30 mars 2022
