Pour surveiller le trafic réseau, notamment pour analyser le comportement en ligne des utilisateurs, surveiller le trafic anormal et surveiller les applications réseau, vous devez collecter le trafic réseau. La capture du trafic réseau peut être inexacte. En fait, vous devez copier le trafic réseau actuel et l'envoyer à l'appareil de surveillance. Un répartiteur réseau, également appelé Network TAP, remplit cette fonction. Examinons la définition de Network TAP :
I. Un Network Tap est un périphérique matériel qui permet d'accéder aux données circulant sur un réseau informatique. (extrait de Wikipédia)
II. APrise réseau, également appelé port d'accès de test, est un périphérique matériel qui se branche directement sur un câble réseau et transmet une partie de la communication réseau à d'autres appareils. Les répartiteurs réseau sont couramment utilisés dans les systèmes de détection d'intrusion (IPS), les détecteurs et les profileurs réseau. La réplication des communications vers les périphériques réseau s'effectue désormais généralement via un analyseur de port de commutation (port span), également appelé mise en miroir de port en commutation réseau.
III. Les taps réseau permettent de créer des ports d'accès permanents pour la surveillance passive. Un tap, ou port d'accès de test, peut être configuré entre deux périphériques réseau, tels que des commutateurs, des routeurs et des pare-feu. Il peut servir de port d'accès pour les dispositifs de surveillance utilisés pour collecter des données en ligne, notamment les systèmes de détection et de prévention des intrusions déployés en mode passif, les analyseurs de protocole et les outils de surveillance à distance. (de NetOptics).
À partir des trois définitions ci-dessus, nous pouvons essentiellement tirer plusieurs caractéristiques du Network TAP : matériel, en ligne, transparent
Voici un aperçu de ces fonctionnalités :
1. Il s'agit d'un élément matériel indépendant et, de ce fait, il n'a aucun impact sur la charge des périphériques réseau existants, ce qui présente de grands avantages par rapport à la mise en miroir des ports.
2. Il s'agit d'un appareil en ligne. En termes simples, il doit être connecté au réseau, ce qui est compréhensible. Cependant, cela présente également l'inconvénient d'introduire un point de défaillance : comme il s'agit d'un appareil en ligne, le réseau actuel doit être interrompu au moment du déploiement, selon l'endroit où il est déployé.
3. La transparence fait référence au pointeur vers le réseau actuel. Les réseaux d'accès après dérivation, le réseau actuel pour tous les équipements, n'ont aucun effet. Pour eux, il est totalement transparent. Bien sûr, il contient également la dérivation réseau qui envoie le trafic vers les équipements de surveillance. Le dispositif de surveillance du réseau est transparent, comme si vous étiez connecté à une nouvelle prise électrique. Pour les autres appareils existants, rien ne se passe, même lorsque vous retirez enfin l'appareil et que vous vous souvenez soudain du poème « Remuez votre manche, pas un nuage »…
De nombreuses personnes connaissent la mise en miroir de ports. Oui, elle peut également produire le même effet. Voici une comparaison entre les taps/divertisseurs réseau et la mise en miroir de ports :
1. Étant donné que le port du commutateur lui-même filtre certains paquets erronés et de taille trop petite, la mise en miroir des ports ne peut garantir l'accès à l'intégralité du trafic. Cependant, le shunter garantit l'intégrité des données, car elles sont intégralement « copiées » au niveau de la couche physique.
2. En termes de performances en temps réel, sur certains commutateurs bas de gamme, la mise en miroir des ports peut introduire des retards lorsqu'elle copie le trafic vers les ports de mise en miroir, et elle introduit également des retards lorsqu'elle copie les ports 10/100 m vers les ports GIGA
3. La mise en miroir des ports nécessite que la bande passante d'un port miroir soit supérieure ou égale à la somme des bandes passantes de tous les ports miroir. Cependant, cette exigence peut ne pas être respectée par tous les commutateurs.
4. La mise en miroir des ports doit être configurée sur le commutateur. Une fois les zones à surveiller ajustées, le commutateur doit être reconfiguré.
Date de publication : 05/08/2022
