Kullanıcı çevrimiçi davranış analizi, anormal trafik izleme ve ağ uygulaması izleme gibi ağ trafiğini izlemek için ağ trafiğini toplamanız gerekir. Ağ trafiğini yakalamak doğru olmayabilir. Aslında, mevcut ağ trafiğini kopyalayıp izleme cihazına göndermeniz gerekir. Ağ ayırıcı, diğer adıyla Ağ TAP, tam olarak bu işi yapar. Şimdi Ağ TAP'ın tanımına bir göz atalım:
I. Ağ erişim cihazı (Network Tap), bir bilgisayar ağında akan verilere erişim sağlayan bir donanım aygıtıdır. (Vikipedi'den)
II. AAğ MusluğuTest Erişim Portu olarak da bilinen ağ ayırıcı, doğrudan bir ağ kablosuna takılan ve ağ iletişiminin bir parçasını diğer cihazlara gönderen bir donanım aygıtıdır. Ağ ayırıcılar genellikle ağ saldırı tespit sistemlerinde (IPS), ağ dedektörlerinde ve profilleyicilerde kullanılır. Ağ cihazlarına iletişimin çoğaltılması artık genellikle ağ anahtarlamasında port yansıtma olarak da bilinen bir anahtarlama port analizörü (span port) aracılığıyla yapılır.
III. Ağ Tap'leri, pasif izleme için kalıcı erişim portları oluşturmak amacıyla kullanılır. Bir tap veya Test Erişim Portu, anahtarlar, yönlendiriciler ve güvenlik duvarları gibi herhangi iki ağ cihazı arasına kurulabilir. Saldırı tespit sistemi, pasif modda konuşlandırılmış saldırı önleme sistemi, protokol analizörleri ve uzaktan izleme araçları dahil olmak üzere, hat içi veri toplamak için kullanılan izleme cihazları için bir erişim portu olarak işlev görebilir. (NetOptics'ten).
Yukarıdaki üç tanımdan yola çıkarak, Network TAP'ın temel olarak birkaç özelliğini çıkarabiliriz: donanımsal, hat içi, şeffaf.
İşte bu özelliklere bir göz atalım:
1. Bağımsız bir donanım parçasıdır ve bu nedenle mevcut ağ aygıtlarının yükünü etkilemez; bu da port yansıtma yöntemine göre büyük avantajlar sağlar.
2. Bu, hat içi bir cihazdır. Basitçe söylemek gerekirse, ağa bağlanması gerekir, bu da anlaşılabilir bir durumdur. Ancak, bu durum aynı zamanda bir arıza noktası oluşturma dezavantajını da beraberinde getirir ve çevrimiçi bir cihaz olduğu için, konuşlandırıldığı yere bağlı olarak, mevcut ağın devreye alınması sırasında kesintiye uğraması gerekir.
3. Şeffaf, mevcut ağa işaret eden göstericiyi ifade eder. Şöntleme işleminden sonra erişim ağları, tüm ekipmanlar için mevcut ağa hiçbir etki etmez, onlar için tamamen şeffaftır; elbette, izleme ekipmanına gönderilen ağ şöntleme trafiğini de içerir; ağ için izleme cihazı şeffaftır, sanki yeni bir elektrik prizine yeni bir erişim sağlamışsınız gibi, diğer mevcut cihazlar için hiçbir şey olmaz, hatta sonunda cihazı çıkardığınızda ve aniden "Kolunu salla, bulut değil" şiirini hatırladığınızda bile...
Birçok kişi port yansıtma (port mirroring) kavramına aşinadır. Evet, port yansıtma da aynı etkiyi sağlayabilir. İşte Ağ Tap/Divertörleri ile Port Yansıtma arasındaki karşılaştırma:
1. Anahtarın portunun kendisi bazı hata paketlerini ve çok küçük boyutlu paketleri filtreleyeceği için, port yansıtma tüm trafiğin elde edilebileceğini garanti edemez. Bununla birlikte, yönlendirme işlemi verilerin bütünlüğünü sağlar çünkü veriler fiziksel katmanda tamamen "kopyalanır".
2. Gerçek zamanlı performans açısından, bazı düşük seviyeli anahtarlarda, port yansıtma işlemi trafiği yansıtma portlarına kopyalarken gecikmelere neden olabilir ve ayrıca 10/100m portlarını GIGA portlarına kopyalarken de gecikmelere yol açabilir.
3. Port yansıtma, yansıtılan portun bant genişliğinin, tüm yansıtılan portların bant genişliklerinin toplamından büyük veya ona eşit olmasını gerektirir. Ancak, bu gereksinim tüm anahtarlar tarafından karşılanmayabilir.
4. Anahtarda port yansıtma yapılandırılmalıdır. İzlenecek alanlar ayarlandıktan sonra, anahtarın yeniden yapılandırılması gerekir.
Yayın tarihi: 05 Ağustos 2022
