Intrusioa detektatzeko sistema (IDS) gailu bat zabaltzen denean, pareko alderdiaren informazio zentroko etengailuko ispilu-ataka ez da nahikoa (adibidez, ispilu-ataka bakarra onartzen da eta ispilu-atak beste gailu batzuk okupatu ditu).
Une honetan, ispilu-portu asko gehitzen ez ditugunean, sarearen erreplikazio, agregazio eta birbidaltze-gailua erabil dezakegu gure gailura ispilu-datu kopuru bera banatzeko.
Zer da Sare TAP?
Agian TAP switch izena entzun zenuen lehen aldiz. TAP (Terminal Access Point), NPB (Network Packet Broker) edo Tap Aggregator izenez ere ezaguna?
TAPen oinarrizko funtzioa ekoizpen sareko ispilu atakaren eta analisi-gailuen kluster baten artean konfiguratzea da. TAPek ekoizpen-sareko gailu batetik edo gehiagotako ispilu edo bereizitako trafikoa biltzen du eta trafikoa datuak aztertzeko gailu batera edo gehiagotara banatzen du.
Common Network TAP sarea hedatzeko eszenatokiak
Network Tap-ek etiketa nabariak ditu, hala nola:
Hardware independentea
TAP lehendik dauden sareko gailuen kargari eragiten ez dion hardware zati bat da, eta hori da portuen ispiluaren abantailetako bat.
Aldatu?
Sarea ukitu?
Sare Gardena
TAP sarera konektatu ondoren, sareko gainerako gailu guztiak ez dira kaltetuko. Haientzat, TAP airea bezain gardena da, eta TAPera konektatutako monitorizazio-gailuak sare osorako gardenak dira.
TAP etengailu batean Port Mirroring bezalakoa da. Beraz, zergatik zabaldu TAP bereizi bat? Ikus ditzagun sareko TAP eta sareko portuen ispiluaren arteko desberdintasun batzuk, aldi berean.
Aldea 1: Sareko TAP errazagoa da konfiguratzeko ataka islatzea baino
Portuaren ispilua konfiguratu behar da etengailuan. Monitorizazioa egokitu behar bada, etengailua GUZTIAK birkonfiguratu behar da. Hala ere, TAP eskatutako tokian bakarrik egokitu behar da, eta horrek ez du eraginik lehendik dauden sareko gailuetan.
Aldea 2: Sareko TAPek ez du sarearen errendimenduari eragiten portuen ispiluari dagokionez
Etengailuko ataka islatzeak etengailuaren errendimendua hondatzen du eta aldatzeko gaitasunari eragiten dio. Bereziki, etengailua sare batera seriean konektatuta badago, sare osoaren birbidaltze-gaitasuna oso kaltetuta dago. TAP hardware independentea da eta ez du gailuaren errendimendua kaltetzen trafikoaren ispiluagatik. Hori dela eta, ez du eraginik lehendik dauden sareko gailuen kargan, eta horrek abantaila handiak ditu portuen ispiluaren aldean.
Aldea 3: Sareko TAPek trafiko prozesu osoa eskaintzen du portuen ispiluaren erreplikazioa baino
Portuen ispiluak ezin du ziurtatu trafiko guztia lor daitekeenik, switch atakak berak errore-pakete batzuk edo tamaina txikiegia diren pakete batzuk iragaziko dituelako. Hala ere, TAPek datuen osotasuna bermatzen du, geruza fisikoan "erreplika" osoa delako.
Aldea 4: TAPen birbidaltze-atzerapena Portuaren Ispiluarena baino txikiagoa da
Behe-mailako etengailu batzuetan, portuen islatzeak latentzia sor dezake trafikoa ispilu-portuetara kopiatzean, baita 10/100 m-ko ataka Giga Ethernet portuetara kopiatzean ere.
Hori asko dokumentatuta dagoen arren, uste dugu azken bi analisiek laguntza tekniko sendorik falta dutela.
Beraz, zein egoera orokorrean TAP erabili behar dugu sareko trafikoa banatzeko? Besterik gabe, baldintza hauek badituzu, Sareko TAP da zure aukerarik onena.
Sare TAP Teknologiak
Entzun goikoa, sentitu TAP sareko shunt-a benetan gailu magikoa dela, gaur egungo merkatuko TAP shunt-a, gutxi gorabehera, hiru kategoriatako azpiko arkitektura erabiliz:
FPGA
- Errendimendu handia
- Garatzeko zaila
- Kostu handia
MIPS
- Malgua eta erosoa
- Garapen-zailtasun ertaina
- RMI eta Cavium hornitzaile nagusiek garapena gelditu zuten eta huts egin zuten geroago
ASIC
- Errendimendu handia
- Hedapen-funtzioaren garapena zaila da, batez ere txiparen beraren mugengatik
- Interfazea eta zehaztapenak txipak berak mugatzen ditu, eta ondorioz hedapen-errendimendu eskasa da
Hori dela eta, merkatuan ikusten den dentsitate eta abiadura handiko Sare TAPek erabilera praktikoan malgutasuna hobetzeko aukera asko dauka. TAP sareko shunters protokoloak bihurtzeko, datuak biltzeko, datuen desbideratzeak, datuak islatzeko eta trafikoa iragazteko erabiltzen dira. Portu mota arrunt nagusiak 100G, 40G, 10G, 2.5G POS, GE, etab. SDH produktuak pixkanaka kentzen ari direnez, egungo Network TAP shunters erabiltzen dira gehienbat Ethernet sare-ingurunean.
Argitalpenaren ordua: 2022-05-25
