English

Qbid tat-Traffiku tan-Netwerk għall-Monitoraġġ, l-Analiżi u s-Sigurtà tan-Netwerk: TAP vs SPAN

Id-differenza ewlenija bejn il-qbid ta' pakketti bl-użu tal-portijiet Network TAP u SPAN.

Mirroring tal-Port(magħruf ukoll bħala SPAN)

Tektek tan-Netwerk(magħruf ukoll bħala Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, eċċ.)TAP (Punt ta' Aċċess għat-Terminal)huwa apparat tal-ħardwer kompletament passiv, li jista' jaqbad b'mod passiv it-traffiku fuq netwerk. Huwa komunement użat biex jimmonitorja t-traffiku bejn żewġ punti fin-netwerk. Jekk in-netwerk bejn dawn iż-żewġ punti jikkonsisti minn kejbil fiżiku, TAP tan-netwerk jista' jkun l-aħjar mod biex jaqbad it-traffiku.

Qabel ma nispjegaw id-differenzi bejn iż-żewġ soluzzjonijiet (Port Mirror u Network Tap), huwa importanti li nifhmu kif jaħdem l-Ethernet. B'100Mbit u aktar, il-hosts ġeneralment jitkellmu full duplex, li jfisser li host wieħed jista' jibgħat (Tx) u jirċievi (Rx) simultanjament. Dan ifisser li fuq kejbil ta' 100 Mbit imqabbad ma' host wieħed, l-ammont totali tat-traffiku tan-netwerk li host wieħed jista' jibgħat/jirċievi (Tx/Rx) huwa 2 × 100 Mbit = 200 Mbit.

Il-Port mirroring hija replikazzjoni attiva tal-pakketti, li tfisser li l-apparat tan-netwerk huwa fiżikament responsabbli għall-ikkupjar tal-pakkett lejn il-port mirrored.

TAP SPAN

Qbid tat-Traffiku: TAP vs SPAN
Meta tkun qed timmonitorja t-traffiku tan-netwerk, jekk ma tridx tħaddem l-appoġġ direttament waqt li utent ikun qed jipproċessa transazzjoni, għandek żewġ għażliet ewlenin. Fl-artiklu li ġej, se nagħtu ħarsa ġenerali lejn TAP (Test Access Point) u SPAN (Switch Port Analyzer). Għal analiżi aktar fil-fond, l-espert tal-ispezzjoni tal-pakketti Timo'Neill għandu diversi artikli fuq lovemytool.com li jidħlu fid-dettall, iżda hawnhekk, se nieħdu approċċ aktar ġenerali.

SPAN
Il-port mirroring huwa metodu ta' monitoraġġ tat-traffiku tan-netwerk billi tintbagħat kopja ta' kull pakkett li jkun dieħel u/jew ħiereġ minn port wieħed jew aktar (jew VLans) ta' swiċċ għal port ieħor imqabbad ma' analizzatur tat-traffiku tan-netwerk. L-ispans spiss jintużaw f'sistemi aktar sempliċi biex jimmonitorjaw siti multipli simultanjament. L-għadd eżatt ta' trasmissjonijiet tan-netwerk li jkun kapaċi jimmonitorja jiddependi fuq fejn ikun installat l-SPAN relattivament għat-tagħmir taċ-ċentru tad-dejta. Probabbilment issib dak li qed tfittex, iżda huwa faċli li ssib ruħek b'wisq dejta. Pereżempju, huwa possibbli li ssib kopji multipli tal-istess dejta fuq VLAN sħiħa. Dan jagħmel is-soluzzjoni tal-problemi tal-LAN aktar diffiċli, u jaffettwa wkoll il-veloċità tas-CPUs tas-swiċċ jew jaffettwa l-Ethernet permezz tad-detezzjoni tal-pożizzjoni. Bażikament, iktar ma jkun hemm spans, iktar ikun probabbli li jintilfu l-pakketti. Meta mqabbla mat-taps, l-ispans jistgħu jiġu ġestiti mill-bogħod, li jfisser li jintefaq inqas ħin biex jinbidlu l-konfigurazzjonijiet, iżda xorta jkunu meħtieġa inġiniera tan-netwerk.

Il-portijiet SPAN mhumiex teknoloġija passiva, kif xi wħud isostnu, għax jista' jkollhom effetti oħra li jistgħu jitkejlu fuq it-traffiku tan-netwerk, inklużi:
- Ħin biex tinbidel l-interazzjoni tal-qafas

- It-twaqqigħ ta' pakketti minħabba tfittxijiet eċċessivi

- Pakketti korrotti jitwaqqgħu mingħajr avviż, u dan ifixkel l-analiżi
Għalhekk, il-portijiet SPAN huma aktar adattati għal sitwazzjonijiet fejn it-twaqqigħ tal-pakketti ma jaffettwax l-analiżi, jew fejn jiġi kkunsidrat l-ispiża.

TAP
B'kuntrast, it-taps jeħtieġu infiq fuq il-ħardwer minn qabel, iżda ma jeħtiġux ħafna setup. Fil-fatt, peress li huma passivi, jistgħu jiġu konnessi u skonnettjati min-netwerk mingħajr ma jaffettwawh. It-taps huma apparati tal-ħardwer li jipprovdu mod kif wieħed jaċċessa d-dejta li tgħaddi minn netwerk tal-kompjuter u huma komunement użati għal skopijiet ta' monitoraġġ tas-sigurtà tan-netwerk u tal-prestazzjoni. It-traffiku mmonitorjat jissejjaħ traffiku "pass-through" u l-port użat għall-monitoraġġ jissejjaħ "port ta' monitoraġġ". Biex jiġi eżaminat in-netwerk b'mod aktar ċar, it-taps jistgħu jitqiegħdu bejn ir-routers u s-swiċċijiet.
Minħabba li t-TAP ma jaffettwax il-pakketti, jista' jitqies bħala mod tassew passiv biex tara t-traffiku tan-netwerk.
Bażikament hemm tliet tipi ta’ soluzzjonijiet TAP:

- Splitter tan-netwerk (1:1)

- TAP aggregat (multi: 1)

- TAP tar-Riġenerazzjoni (1: multi)

TAP jirreplika t-traffiku għal għodda waħda ta' monitoraġġ passiv, jew għal apparat ta' rilej tal-pakketti tan-netwerk b'densità għolja, u jservi diversi għodod ta' ttestjar tal-QOS (spiss diversi), għodod ta' monitoraġġ tan-netwerk, u għodod ta' sniffer tan-netwerk bħal wireshark.
Barra minn hekk, it-tipi ta' TAP ivarjaw skont it-tip ta' kejbil, inkluż TAP tal-fibra u TAP tar-ram gigabit, it-tnejn joperaw essenzjalment bl-istess mod billi jgħaddu parti mis-sinjal lill-analizzatur tat-traffiku tan-netwerk, filwaqt li l-mudell prinċipali jkompli jittrażmetti mingħajr interruzzjoni. Għat-TAP tal-fibra, dan ifisser li r-raġġ jinqasam fi tnejn, filwaqt li fis-sistema tal-kejbil tar-ram, dan ifisser li jiġi replikat is-sinjal elettriku.

Paragun tat-TAP u l-SPAN

L-ewwelnett, il-port SPAN mhuwiex adattat għal link 1G full-duplex, u anke meta jkun taħt il-kapaċità massima tiegħu, malajr iwaqqa' l-pakketti għax ikun mgħobbi żżejjed, jew sempliċement għax is-swiċċ jipprijoritizza d-dati regolari minn port għal port fuq id-dejta tal-port SPAN. B'differenza mit-taps tan-netwerk, il-portijiet SPAN jiffiltraw l-iżbalji fis-saff fiżiku, u b'hekk jagħmlu xi tipi ta' analiżi aktar diffiċli, u kif rajna, ħinijiet ta' inkrement mhux korretti u frejms mibdula jistgħu jikkawżaw problemi oħra. Min-naħa l-oħra, it-TAP jista' jopera link 1G full-duplex.

It-TAP jista' wkoll iwettaq qbid sħiħ tal-pakketti u jwettaq spezzjoni fil-fond tal-pakketti għal protokolli, ksur, intrużjonijiet, eċċ. Għalhekk, id-dejta tat-TAP tista' tintuża bħala evidenza fil-qorti, filwaqt li d-dejta tal-port SPAN ma tistax.
Is-sigurtà hija aspett ieħor fejn hemm differenzi bejn iż-żewġ tekniki. Il-portijiet SPAN ġeneralment ikunu kkonfigurati għal komunikazzjoni f'direzzjoni waħda, iżda jistgħu wkoll jirċievu komunikazzjoni f'xi każijiet, u dan jikkawża vulnerabbiltajiet serji. B'kuntrast, it-TAP mhuwiex indirizzabbli u m'għandux indirizz IP, għalhekk ma jistax jiġi hacked.

Il-portijiet SPAN tipikament ma jgħaddux tikketti VLAN, li jista' jagħmilha diffiċli biex jinstabu fallimenti VLAN, iżda t-taps ma jistgħux jaraw in-netwerk VLAN kollu f'daqqa. Jekk ma jintużawx taps aggregati, it-TAP mhux se jipprovdi l-istess traċċa għaż-żewġ kanali, iżda trid tingħata attenzjoni għad-detezzjoni ta' overage. Hemm taps aggregati, bħal Booster għal Profitap, li jaggregaw tmien portijiet 10/100/1G f'output 1G-10G.

Booster jista' jdaħħal pakketti billi jdaħħal tikketti VLAN. B'dan il-mod, l-informazzjoni tal-port tas-sors ta' kull pakkett tintbagħat lill-analizzatur.

Il-portijiet SPAN għadhom għodda li l-amministraturi tan-netwerk jużaw, iżda jekk il-veloċità u l-aċċess affidabbli għad-dejta kollha tan-netwerk huma kritiċi, it-TAP hija l-aħjar għażla. Meta tiddeċiedi liema approċċ tieħu, il-portijiet SPAN huma aktar adattati għal netwerks b'utilizzazzjoni baxxa, peress li l-pakketti mitlufa ma jaffettwawx l-analiżi jew huma fakultattivi f'każijiet fejn l-ispiża hija ta' tħassib. Madankollu, fuq netwerks bi traffiku għoli, il-kapaċità, is-sigurtà u l-affidabbiltà tat-TAP jipprovdu viżibilità sħiħa tat-traffiku fuq in-netwerk tiegħek mingħajr il-biża' ta' telf ta' pakketti jew iffiltrar ta' żbalji fis-saff fiżiku.

TAP

 

○ Viżibbli għalkollox

○ Irreplika t-traffiku kollu (il-pakketti kollha ta' kull daqs u tip)

○ Passiv, mhux intrużiv (ma jbiddilx id-dejta)

○ Fis-serje, l-ebda port tas-swiċċ ma jintuża biex jirreplika t-traffiku full-duplex fil-wajers. Setup faċli (plug and play)

○ Mhux vulnerabbli għall-hackers (inviżibbli, apparat ta' monitoraġġ iżolat min-netwerk, mingħajr indirizz IP/MAC)

○ Skalabbli

○ Adattat għal kwalunkwe sitwazzjoni

SPAN

 

○ Viżibilità parzjali

○ Ma tikkopjax it-traffiku kollu (titneħħa ċertu daqsijiet u tipi ta' pakketti)

○ Mhux passiv (tibdil fil-ħin tal-pakketti, żieda fil-latenza)

○ Uża l-port tas-swiċċ (kull port SPAN juża port tas-swiċċ)

○ Ma jistax jimmaniġġja komunikazzjoni full-duplex (il-pakketti jitwaqqgħu meta jkunu mgħobbija żżejjed, jistgħu wkoll jinterferixxu mal-operazzjoni tas-swiċċ primarju)

○ L-inġiniera jeħtieġ li jikkonfiguraw

○ Mhux sikur (Is-sistema ta' monitoraġġ hija parti min-netwerk, problemi potenzjali ta' sigurtà)

○ Mhux skalabbli

○ Fattibbli biss taħt ċerti ċirkostanzi

Jista’ jkun interessanti għalik l-artiklu relatat: Kif Taqbad it-Traffiku tan-Netwerk? Network Tap vs Port Mirror

Ħin tal-posta: 09 ta' Ġunju 2025
Agħfas enter biex tfittex jew ESC biex tagħlaq