English

Snimanje mrežnog prometa za mrežni nadzor, analizu i sigurnost: TAP vs SPAN

Glavna razlika između hvatanja paketa pomoću mrežnih TAP i SPAN portova.

Zrcaljenje portova(također poznat kao SPAN)

Mrežni dodir(također poznat kao replikacijski priključak, agregacijski priključak, aktivni priključak, bakreni priključak, Ethernet priključak itd.)TAP (Pristupna točka terminala)je potpuno pasivni hardverski uređaj koji može pasivno snimati promet na mreži. Obično se koristi za praćenje prometa između dvije točke u mreži. Ako se mreža između te dvije točke sastoji od fizičkog kabela, mrežni TAP može biti najbolji način za snimanje prometa.

Prije objašnjenja razlika između dva rješenja (Port Mirror i Network Tap), važno je razumjeti kako Ethernet radi. Pri brzinama od 100 Mbit i više, hostovi obično komuniciraju u punom dupleksu, što znači da jedan host može istovremeno slati (Tx) i primati (Rx). To znači da na kabelu od 100 Mbit spojenom na jedan host, ukupna količina mrežnog prometa koju jedan host može slati/primati (Tx/Rx) iznosi 2 × 100 Mbit = 200 Mbit.

Zrcaljenje porta je aktivna replikacija paketa, što znači da je mrežni uređaj fizički odgovoran za kopiranje paketa na zrcaljeni port.

DODIRNITE RAZMAK

Hvatanje prometa: TAP vs SPAN
Prilikom praćenja mrežnog prometa, ako ne želite izravno operacionalizirati podršku dok korisnik obrađuje transakciju, imate dvije glavne mogućnosti. U sljedećem članku dat ćemo pregled TAP-a (Test Access Point) i SPAN-a (Switch Port Analyzer). Za dublju analizu, stručnjak za inspekciju paketa Timo'Neill ima nekoliko članaka na lovemytool.com koji detaljno opisuju ovu temu, ali ovdje ćemo zauzeti općenitiji pristup.

SPAN
Zrcaljenje portova je metoda praćenja mrežnog prometa prosljeđivanjem kopije svakog dolaznog i/ili odlaznog paketa s jednog ili više portova (ili VLan-ova) preklopnika na drugi port spojen na analizator mrežnog prometa. Rasponi se često koriste u jednostavnijim sustavima za istovremeno praćenje više lokacija. Točan broj mrežnih prijenosa koje može pratiti ovisi o tome gdje je SPAN instaliran u odnosu na opremu podatkovnog centra. Vjerojatno ćete pronaći ono što tražite, ali lako se naći s previše podataka. Na primjer, moguće je pronaći više kopija istih podataka na cijelom VLAN-u. To otežava rješavanje problema s LAN-om, a također utječe na brzinu procesora preklopnika ili utječe na Ethernet putem detekcije položaja. U osnovi, što je više raspona, veća je vjerojatnost gubitka paketa. U usporedbi s tap-ovima, rasponima se može upravljati daljinski, što znači da se manje vremena troši na promjenu konfiguracija, ali su i dalje potrebni mrežni inženjeri.

SPAN portovi nisu pasivna tehnologija, kako neki tvrde, jer mogu imati druge mjerljive učinke na mrežni promet, uključujući:
- Vrijeme za promjenu interakcije okvira

- Gubitak paketa zbog prekomjernog broja pretraga

- Oštećeni paketi se odbacuju bez prethodne najave, što ometa analizu
Stoga su SPAN portovi prikladniji za situacije gdje odbacivanje paketa ne utječe na analizu ili gdje se uzima u obzir trošak.

DODIRNITE
Nasuprot tome, odvojci (tapi) zahtijevaju ulaganje u hardver odmah na početku, ali ne zahtijevaju puno postavljanja. Doista, budući da su pasivni, mogu se spajati i odspajati s mreže bez utjecaja na nju. Odvojci su hardverski uređaji koji omogućuju pristup podacima koji teku kroz računalnu mrežu i obično se koriste za nadzor sigurnosti mreže i performansi. Nadzirani promet naziva se "prolazni" promet, a port koji se koristi za nadzor naziva se "port za praćenje". Kako bi se mreža jasnije ispitala, odvojci se mogu postaviti između usmjerivača i preklopnika.
Budući da TAP ne utječe na pakete, može se smatrati uistinu pasivnim načinom pregleda mrežnog prometa.
Postoje u osnovi tri vrste TAP rješenja:

- Mrežni razdjelnik (1:1)

- Agregatni TAP (višestruki: 1)

- Regeneracija TAP (1 : višestruka)

TAP replicira promet na jedan pasivni alat za nadzor ili na uređaj za prijenos paketa u mreži visoke gustoće i opslužuje više (često više) alata za testiranje QOS-a, alata za nadzor mreže i alata za prisluškivanje mreže kao što je Wireshark.
Osim toga, vrste TAP-ova razlikuju se ovisno o vrsti kabela, uključujući optički TAP i gigabitni bakreni TAP, koji oba rade na u biti isti način preusmjeravanjem dijela signala na analizator mrežnog prometa, dok glavni model nastavlja prenositi bez prekida. Kod optičkog TAP-a, snop se dijeli na dva dijela, dok se u sustavu bakrenih kabela snop replicira električni signal.

Usporedba TAP-a i SPAN-a

Prvo, SPAN port nije prikladan za full-duplex 1G vezu, pa čak i kada je ispod svog maksimalnog kapaciteta, brzo odbacuje pakete jer je preopterećen ili jednostavno zato što preklopnik daje prioritet redovnim datumima između portova u odnosu na podatke SPAN porta. Za razliku od mrežnih odvojaka, SPAN portovi filtriraju pogreške fizičkog sloja, što otežava neke vrste analize, a kao što smo vidjeli, netočna vremena povećanja i promijenjeni okviri mogu uzrokovati druge probleme. S druge strane, TAP može raditi s full-duplex 1G vezom.

TAP također može izvršiti potpuno snimanje paketa i dubinsku inspekciju paketa za protokole, kršenja, upade itd. Dakle, TAP podaci mogu se koristiti kao dokaz na sudu, dok podaci SPAN porta ne mogu.
Sigurnost je još jedan aspekt gdje postoje razlike između dvije tehnike. SPAN portovi su obično konfigurirani za jednosmjernu komunikaciju, ali u nekim slučajevima mogu i primati komunikaciju, što uzrokuje ozbiljne ranjivosti. Nasuprot tome, TAP nije adresabilan i nema IP adresu, pa ga se ne može hakirati.

SPAN portovi obično ne prolaze VLAN oznake, što može otežati otkrivanje kvarova VLAN-a, ali odvojci ne mogu vidjeti cijelu VLAN mrežu odjednom. Ako se ne koriste agregirani odvojci, TAP neće pružiti isti trag za oba kanala, ali treba paziti na otkrivanje prekoračenja. Postoje agregirani odvojci, kao što je Booster za Profitap, koji agregiraju osam 10/100/1G portova u 1G-10G izlazu.

Booster može unositi pakete umetanjem VLAN oznaka. Na taj način, informacije o izvornom portu svakog paketa bit će proslijeđene analizatoru.

SPAN portovi su i dalje alat koji će mrežni administratori koristiti, ali ako su brzina i pouzdan pristup svim mrežnim podacima ključni, TAP je bolji izbor. Prilikom odlučivanja koji pristup odabrati, SPAN portovi su prikladniji za mreže s niskom iskorištenošću, budući da izgubljeni paketi ne utječu na analizu ili su opcionalni u slučajevima kada je trošak važan. Međutim, na mrežama s velikim prometom, TAP-ov kapacitet, sigurnost i pouzdanost pružit će potpuni uvid u promet na vašoj mreži bez straha od gubitka paketa ili filtriranja pogrešaka fizičkog sloja.

DODIRNITE

 

○ Potpuno vidljivo

○ Repliciraj sav promet (sve pakete svih veličina i vrsta)

○ Pasivno, nenametljivo (ne mijenja podatke)

○ U seriji se ne koriste portovi preklopnika za replikaciju prometa u punom dupleksu. Jednostavno postavljanje (plug and play).

○ Nije ranjiv na hakere (nevidljiv, izoliran uređaj za nadzor od mreže, bez IP/MAC adrese)

○ Skalabilno

○ Pogodno za svaku situaciju

SPAN

 

○ Djelomična vidljivost

○ Ne kopiranje cjelokupnog prometa (odbacivanje određenih veličina i vrsta paketa)

○ Nepasivno (promjena vremena paketa, povećanje latencije)

○ Koristite preklopni port (svaki SPAN port koristi preklopni port)

○ Ne može se obraditi full-duplex komunikacija (paketi se gube prilikom preopterećenja, što također može ometati rad primarnog prekidača)

○ Inženjeri trebaju konfigurirati

○ Nesigurno (Sustav za nadzor je dio mreže, potencijalni sigurnosni problemi)

○ Nije skalabilno

○ Izvedivo samo pod određenim okolnostima

Možda će vam biti zanimljiv povezani članak: Kako uhvatiti mrežni promet? Network Tap vs Port Mirror

Vrijeme objave: 09.06.2025.
Pritisnite enter za pretraživanje ili ESC za zatvaranje