Pour surveiller le trafic réseau, notamment l'analyse du comportement en ligne des utilisateurs, la détection des anomalies de trafic et la surveillance des applications réseau, il est nécessaire de collecter ce trafic. Cependant, la capture directe peut s'avérer imprécise. Il est donc préférable de copier le trafic réseau actuel et de l'envoyer à un dispositif de surveillance. C'est précisément le rôle d'un répartiteur réseau, également appelé Network TAP (Network Tap). Voici la définition d'un Network TAP :
I. Un routeur réseau est un périphérique matériel qui permet d'accéder aux données circulant sur un réseau informatique. (d'après Wikipédia)
II. APrise réseauUn répartiteur réseau, également appelé port d'accès de test, est un périphérique matériel qui se connecte directement à un câble réseau et transmet une portion de communication réseau à d'autres périphériques. Les répartiteurs réseau sont couramment utilisés dans les systèmes de détection d'intrusion (IPS), les détecteurs de réseau et les profileurs. La réplication de la communication vers les périphériques réseau s'effectue généralement via un analyseur de ports de commutation (port d'extension), également appelé duplication de ports en commutation réseau.
III. Les points d'accès réseau permettent de créer des ports d'accès permanents pour la surveillance passive. Un point d'accès, ou port de test d'accès, peut être configuré entre deux périphériques réseau quelconques, tels que des commutateurs, des routeurs et des pare-feu. Il peut servir de port d'accès pour un dispositif de surveillance collectant des données en temps réel, notamment un système de détection d'intrusion, un système de prévention d'intrusion déployé en mode passif, un analyseur de protocole et un outil de surveillance à distance. (Source : NetOptics)
À partir des trois définitions précédentes, on peut dégager plusieurs caractéristiques essentielles du Network TAP : matériel, intégré et transparent.
Voici un aperçu de ces fonctionnalités :
1. Il s'agit d'un composant matériel indépendant, et de ce fait, il n'a aucun impact sur la charge des périphériques réseau existants, ce qui représente un avantage considérable par rapport à la duplication de ports.
2. Il s'agit d'un dispositif en ligne. Autrement dit, il doit être connecté au réseau, ce qui est compréhensible. Cependant, cela présente également l'inconvénient d'introduire un point de défaillance, et comme il s'agit d'un dispositif en ligne, le réseau existant doit être interrompu lors de son déploiement, selon l'endroit où il est installé.
3. « Transparent » fait référence au pointeur vers le réseau actuel. Après un shunt, l'accès au réseau est totalement transparent pour tous les équipements. Bien entendu, le shunt réseau envoie également du trafic aux équipements de surveillance ; ces derniers sont transparents pour le réseau. C'est comme si vous vous branchiez à une nouvelle prise électrique : rien ne se passe pour les autres appareils, même lorsque vous débranchez l'appareil et que vous vous souvenez soudain du poème « Remuez votre manche et pas un nuage »…
Beaucoup connaissent la duplication de ports. En effet, la duplication de ports permet d'obtenir le même résultat. Voici une comparaison entre les adaptateurs/dérivateurs réseau et la duplication de ports :
1. Le port du commutateur filtrant certains paquets erronés et de taille insuffisante, la duplication de ports ne garantit pas la réception de l'intégralité du trafic. En revanche, le shunter assure l'intégrité des données grâce à une copie complète au niveau de la couche physique.
2. En termes de performances en temps réel, sur certains commutateurs d'entrée de gamme, la duplication de ports peut engendrer des délais lors de la copie du trafic vers les ports miroirs, ainsi que lors de la copie des ports 10/100 Mbps vers les ports GIGA.
3. La duplication de ports exige que la bande passante d'un port dupliqué soit supérieure ou égale à la somme des bandes passantes de tous les ports dupliqués. Cependant, cette condition peut ne pas être remplie par tous les commutateurs.
4. La duplication de ports doit être configurée sur le commutateur. Si les zones à surveiller doivent être modifiées, le commutateur doit être reconfiguré.
Date de publication : 5 août 2022
