Network TAP eta SPAN atakak erabiliz paketeak harrapatzeko arteko desberdintasun nagusia.
Portuen islatzea(SPAN izenez ere ezaguna)
Sareko Ukipena(erreplikazio-tapoia, agregazio-tapoia, tapoi aktiboa, kobre-tapoia, Ethernet-tapoia, etab. bezala ere ezaguna)TAP (Terminalerako Sarbide Puntua)hardware gailu guztiz pasiboa da, sare bateko trafikoa pasiboki harrapatzeko gai dena. Sareko bi punturen arteko trafikoa kontrolatzeko erabiltzen da normalean. Bi puntu horien arteko sarea kable fisiko batez osatuta badago, sareko TAP bat izan daiteke trafikoa harrapatzeko modurik onena.
Bi irtenbideen (Port Mirror eta Network Tap) arteko desberdintasunak azaldu aurretik, garrantzitsua da Ethernet-ek nola funtzionatzen duen ulertzea. 100Mbit-etan eta gehiagotan, host-ek normalean full duplex moduan hitz egiten dute, hau da, host batek aldi berean bidali (Tx) eta jaso (Rx) egin ditzake. Horrek esan nahi du host bati konektatutako 100 Mbit-eko kable batean, host batek bidali/jaso dezakeen sareko trafikoaren kopuru osoa (Tx/Rx) 2 × 100 Mbit = 200 Mbit dela.
Portuaren islatzea paketeen erreplikazio aktiboa da, hau da, sareko gailua fisikoki arduratzen da paketea ispiluko portuan kopiatzeaz.
Trafikoa harrapatzea: TAP vs SPAN
Sareko trafikoa monitorizatzerakoan, erabiltzaile batek transakzio bat prozesatzen duen bitartean laguntza zuzenean operatibatu nahi ez baduzu, bi aukera nagusi dituzu. Hurrengo artikuluan, TAP (Test Access Point) eta SPAN (Switch Port Analyzer) funtzioen ikuspegi orokorra emango dugu. Azterketa sakonago bat egiteko, Timo'Neill paketeen ikuskapen adituak hainbat artikulu ditu lovemytool.com helbidean xehetasun handiz azaltzen dutenak, baina hemen, ikuspegi orokorrago bat hartuko dugu.
HEDAPENA
Portuen islatzea sareko trafikoa monitorizatzeko metodo bat da, switch baten portu (edo VLAN) batetik edo gehiagotatik sartzen eta/edo irteten den pakete bakoitzaren kopia sareko trafiko-analizatzaile batera konektatutako beste portu batera birbidaliz. Span-ak askotan sistema sinpleagoetan erabiltzen dira hainbat gune aldi berean monitorizatzeko. Monitoriza ditzakeen sareko transmisio kopuru zehatza SPAN-a datu-zentroko ekipamenduarekiko non instalatuta dagoen araberakoa da. Ziurrenik bilatzen ari zarena aurkituko duzu, baina erraza da datu gehiegi aurkitzea. Adibidez, datu berdinen kopia anitz aurki daitezke VLAN osoan. Horrek LAN arazoak konpontzea zailtzen du, eta switch-aren CPUaren abiaduran ere eragiten du edo Ethernet-i eragiten dio kokapena detektatuz. Funtsean, zenbat eta span gehiago, orduan eta litekeena da paketeak galtzea. Tap-ekin alderatuta, span-ak urrunetik kudeatu daitezke, eta horrek esan nahi du konfigurazioak aldatzen denbora gutxiago ematen dela, baina sareko ingeniariak beharrezkoak dira oraindik.
SPAN portuak ez dira teknologia pasibo bat, batzuek dioten bezala, sareko trafikoan beste eragin neurgarri batzuk izan ditzaketelako, besteak beste:
- Markoaren interakzioa aldatzeko ordua
- Paketeak galtzea gehiegizko bilaketak direla eta
- Pakete hondatuak abisurik gabe botatzen dira, analisia oztopatzen dute
Beraz, SPAN portuak egokiagoak dira paketeak jaisteak analisian eragiten ez duen edo kostua kontuan hartzen den egoeretarako.
SAKATU
Aldiz, tap-ek hardwarean dirua gastatu behar dute hasieran, baina ez dute konfigurazio handirik behar. Izan ere, pasiboak direnez, sarera konektatu eta deskonektatu daitezke, sarean eragin gabe. Tap-ak ordenagailu-sare batetik igarotzen diren datuetara sartzeko modua eskaintzen duten hardware-gailuak dira, eta sarearen segurtasunerako eta errendimenduaren monitorizaziorako erabiltzen dira normalean. Monitorizatutako trafikoari "pasabide" trafikoa deitzen zaio, eta monitorizaziorako erabiltzen den atakari "monitorizazio-ataka". Sarea argiago aztertzeko, tap-ak jar daitezke bideratzaileen eta etengailuen artean.
TAPek paketeei eragiten ez dienez, sareko trafikoa ikusteko modu pasibo gisa ikus daiteke.
Funtsean, hiru TAP irtenbide mota daude:
- Sare zatitzailea (1 : 1)
- TAP agregatua (anitzak : 1)
- Birsorkuntza TAP (1 : anitzeko)
TAPek trafikoa erreplikatzen du monitorizazio-tresna pasibo bakar batera edo dentsitate handiko sare-paketeen errelebo-gailu batera, eta QOS probak egiteko hainbat tresna (askotan hainbat), sare-monitorizazio tresnak eta sare-sniffer tresnak zerbitzatzen ditu, hala nola wireshark.
Gainera, TAP motak kable motaren arabera aldatzen dira, zuntz optikoko TAP eta gigabit kobrezko TAP barne, biak funtsean modu berean funtzionatzen baitute seinalearen zati bat sareko trafiko analizatzailera deskargatuz, modelo nagusiak etenik gabe transmititzen jarraitzen duen bitartean. Zuntz optikoko TAP-arentzat, habea bitan banatzea da helburua, kobrezko kable sisteman, berriz, seinale elektrikoa erreplikatzea da helburua.
TAP eta SPAN alderatzea
Lehenik eta behin, SPAN ataka ez da egokia 1G lotura full-duplex baterako, eta bere gehienezko edukieraren azpitik egon arren, paketeak azkar galtzen ditu gehiegi kargatuta dagoelako, edo, besterik gabe, etengailuak portu-portuko data erregularrak lehenesten dituelako SPAN atakako datuen gainetik. Sareko tap-ak ez bezala, SPAN atakek geruza fisikoko akatsak iragazten dituzte, eta horrek analisi mota batzuk zailtzen ditu, eta ikusi dugun bezala, gehikuntza-denbora okerrek eta fotograma aldatuek beste arazo batzuk sor ditzakete. Bestalde, TAP-ek 1G lotura full-duplex bat funtziona dezake.
TAPek paketeen harrapaketa osoa egin dezake eta protokoloak, arau-hausteak, intrusioak eta abar sakonki ikuskatu. Horrela, TAP datuak frogatzat erabil daitezke auzitegian, SPAN atakako datuak, berriz, ezin dira.
Segurtasuna da bi tekniken artean desberdintasunak dauden beste alderdi bat. SPAN atakak normalean noranzko bakarreko komunikaziorako konfiguratzen dira, baina kasu batzuetan komunikazioa ere jaso dezakete, ahultasun larriak eraginez. Aitzitik, TAP ez da helbideragarria eta ez du IP helbiderik, beraz, ezin da hackeatu.
SPAN portuek normalean ez dituzte VLAN etiketak pasatzen, eta horrek zaildu dezake VLAN akatsak detektatzea, baina tap-ek ezin dute VLAN sare osoa aldi berean ikusi. Tap agregatuak erabiltzen ez badira, TAP-ak ez du bi kanaletarako arrasto bera emango, baina kontuz ibili behar da gehiegizko erabileraren detekzioarekin. Badira tap agregatuak, hala nola Booster for Profitap, zortzi 10/100/1G portu 1G-10G irteera batean biltzen dituztenak.
Booster-ek paketeak sartzeko gai da VLAN etiketak txertatuz. Horrela, pakete bakoitzaren iturburu-portuaren informazioa analizatzailera bidaliko da.
SPAN portuak oraindik ere sareko administratzaileek erabiliko duten tresna bat dira, baina abiadura eta sareko datu guztietarako sarbide fidagarria funtsezkoak badira, TAP da aukera hobea. Zein ikuspegi hartu erabakitzerakoan, SPAN portuak egokiagoak dira erabilera gutxiko sareetarako, galdutako paketeek ez baitute eragiten analisian edo aukerakoak baitira kostua kezkagarria den kasuetan. Hala ere, trafiko handiko sareetan, TAPen gaitasunak, segurtasunak eta fidagarritasunak zure sareko trafikoaren ikusgarritasun osoa emango dute, paketeak galtzeko edo geruza fisikoko akatsak iragazteko beldurrik gabe.
○ Guztiz ikusgai
○ Trafiko guztia erreplikatu (tamaina eta mota guztietako pakete guztiak)
○ Pasiboa, ez-intrusiboa (ez ditu datuak aldatzen)
○ Seriean, ez da etengailu-porturik erabiltzen arnesetan full-duplex trafikoa erreplikatzeko Konfigurazio erraza (konektatu eta erabili)
○ Ez da hackerren aurrean zaurgarria (ikusezina, saretik isolatutako monitorizazio-gailua, IP/MAC helbiderik gabe)
○ Eskalagarria
○ Egoera guztietarako egokia
○ Ikusgarritasun partziala
○ Trafiko guztia ez kopiatzea (pakete mota eta tamaina jakin batzuk baztertzea)
○ Ez-pasiboa (paketeen denbora aldatzea, latentzia handitzea)
○ Erabili switch ataka (SPAN ataka bakoitzak switch ataka bat erabiltzen du)
○ Ezin da full-duplex komunikazioa kudeatu (paketeak galtzen dira gainkarga dagoenean, eta horrek etengailu nagusiaren funtzionamenduan ere eragin dezake)
○ Ingeniariek konfiguratu behar dute
○ Segurugabea (Monitorizazio sistema sarearen parte da, segurtasun arazoak izan daitezke)
○ Eskalagarria ez
○ Zenbait egoeratan bakarrik bideragarria
Baliteke erlazionatutako artikulua interesgarria izatea zuretzat: Nola harrapatu sareko trafikoa? Network Tap vs Port Mirror
Argitaratze data: 2025eko ekainak 9
