Pour analyser le trafic réseau, il est nécessaire d'envoyer le paquet réseau à NTOP/NPROBE ou à des outils de surveillance et de sécurité réseau hors bande. Deux solutions existent à ce problème :
Mise en miroir des ports(également connu sous le nom de SPAN)
Prise réseau(également connu sous le nom de Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, etc.)
Avant d'expliquer les différences entre les deux solutions (Port Mirror et Network Tap), il est important de comprendre le fonctionnement d'Ethernet. À partir de 100 Mbit/s, les hôtes communiquent généralement en duplex intégral, ce qui signifie qu'un hôte peut émettre (Tx) et recevoir (Rx) simultanément. Ainsi, sur un câble de 100 Mbit/s connecté à un hôte, le débit total de trafic réseau que cet hôte peut émettre/recevoir (Tx/Rx) est de 2 × 100 Mbit/s = 200 Mbit/s.
La mise en miroir de ports est une réplication active des paquets, ce qui signifie que le périphérique réseau est physiquement responsable de la copie du paquet vers le port mis en miroir.
Cela signifie que le périphérique doit effectuer cette tâche en utilisant une ressource (comme le processeur), et que le trafic dans les deux sens sera répliqué sur le même port. Comme mentionné précédemment, dans une liaison duplex intégral, cela signifie que
A -> B et B -> A
La somme des paquets A ne dépassera pas la vitesse du réseau avant qu'une perte de paquets ne survienne. En effet, il n'y a physiquement pas d'espace disponible pour copier les paquets. La duplication de ports s'avère être une excellente technique, car elle peut être mise en œuvre par de nombreux commutateurs (mais pas tous). La plupart des commutateurs présentent l'inconvénient d'une perte de paquets si vous surveillez une liaison avec une charge supérieure à 50 % ou si vous dupliquez les ports sur un port plus rapide (par exemple, dupliquer des ports 100 Mbit/s sur un port 1 Gbit/s). De plus, la duplication de paquets peut nécessiter un échange de ressources des commutateurs, ce qui peut surcharger l'appareil et dégrader les performances d'échange. Notez qu'il est possible de connecter un port à un autre, ou un VLAN à un autre, mais il est généralement impossible de dupliquer plusieurs ports sur un seul (donc, la duplication de paquets est impossible).
Un point d'accès terminal (TAP) réseauIl s'agit d'un dispositif matériel entièrement passif, capable de capturer passivement le trafic sur un réseau. Il est couramment utilisé pour surveiller le trafic entre deux points du réseau. Si ce réseau est constitué d'un câble physique, un TAP réseau peut s'avérer la solution la plus adaptée pour capturer le trafic.
Le point d'accès réseau (TAP) possède au moins trois ports : un port A, un port B et un port de surveillance. Pour installer un TAP entre les points A et B, le câble réseau les reliant est remplacé par deux câbles : l'un connecté au port A du TAP, l'autre à son port B. Le TAP transmet tout le trafic entre les deux points du réseau, qui restent ainsi connectés. Il copie également ce trafic sur son port de surveillance, permettant ainsi à un dispositif d'analyse d'écouter le trafic.
Les points d'accès réseau (TAP) sont couramment utilisés par les dispositifs de surveillance et de collecte tels que les systèmes de pointage automatique (APS). Les TAP peuvent également être utilisés dans des applications de sécurité car ils sont discrets, indétectables sur le réseau, compatibles avec les réseaux bidirectionnels (full-duplex) et non partagés, et continuent généralement à acheminer le trafic même en cas de panne ou de coupure de courant.
Comme les ports d'écoute réseau ne font que transmettre et non recevoir, le commutateur ignore qui est connecté à ces ports. Par conséquent, il diffuse les paquets à tous les ports. Ainsi, si vous connectez votre dispositif de surveillance au commutateur, ce dernier recevra tous les paquets. Ce mécanisme fonctionne uniquement si le dispositif de surveillance n'envoie aucun paquet au commutateur ; sinon, ce dernier considérera que les paquets interceptés ne lui sont pas destinés. Pour éviter cela, vous pouvez utiliser un câble réseau dont les fils d'émission ne sont pas connectés, ou une interface réseau sans adresse IP (ni DHCP) qui ne transmet aucun paquet. Enfin, si vous souhaitez utiliser un port d'écoute pour éviter toute perte de paquets, vous devez soit ne pas fusionner les directions, soit utiliser un commutateur dont le débit dans les directions interceptées est inférieur (par exemple, 100 Mbits/s) à celui du port de fusion (par exemple, 1 Gbits/s).
Comment capturer le trafic réseau ? Comparaison entre les points d'écoute réseau et la duplication des ports de commutateur
1- Configuration facile : Network Tap > Port Mirror
2- Influence sur les performances du réseau : Prise réseau < Miroir de port
3- Capacité de capture, de réplication, d'agrégation et de transfert : Capture réseau > Mise en miroir de port
4- Latence de transfert du trafic : Network Tap < Port Mirror
5- Capacité de prétraitement du trafic : Prise réseau > Mise en miroir de port
Date de publication : 30 mars 2022
