Kullanıcı çevrimiçi davranış analizi, anormal trafik izleme ve ağ uygulaması izleme gibi ağ trafiğini izlemek için ağ trafiğini toplamanız gerekir. Ağ trafiğini yakalamak yanlış olabilir. Aslında, mevcut ağ trafiğini kopyalamanız ve izleme cihazına göndermeniz gerekir. Ağ ayırıcı, Network TAP olarak da bilinir. Sadece bu işi yapar. Network TAP tanımına bir göz atalım:
I. Ağ Musluğu, bir bilgisayar ağı üzerinden akan verilere erişmenin bir yolunu sağlayan bir donanım aygıtıdır. (Vikipedi'den)
II. BirAğ Dokunuşu, Test Erişim Portu olarak da bilinir, doğrudan bir Ağ kablosuna takılan ve bir Ağ iletişim parçasını diğer cihazlara gönderen bir donanım aygıtıdır. Ağ bölücüler genellikle ağ saldırı tespit sistemlerinde (IPS), ağ dedektörlerinde ve profilleyicilerde kullanılır. Ağ cihazlarına iletişimin kopyalanması artık genellikle bir anahtarlama portu analizörü (span portu) aracılığıyla yapılır, ağ anahtarlamada port yansıtma olarak da bilinir.
III. Ağ Dinlemeleri, pasif izleme için kalıcı erişim noktaları oluşturmak için kullanılır. Bir dinleme veya Test Erişim Noktası, anahtarlar, yönlendiriciler ve güvenlik duvarları gibi herhangi iki ağ cihazı arasında ayarlanabilir. Saldırı tespit sistemi, pasif modda konuşlandırılmış Saldırı önleme sistemi, protokol analizörleri ve uzaktan izleme araçları dahil olmak üzere satır içi verileri toplamak için kullanılan izleme cihazı için bir erişim noktası işlevi görebilir. (NetOptics'ten).
Yukarıdaki üç tanımdan, Network TAP'in temel olarak birkaç özelliğini çıkarabiliriz: donanım, satır içi, şeffaf
İşte bu özelliklere bir göz atalım:
1. Bağımsız bir donanım parçasıdır ve bu nedenle mevcut ağ cihazlarının yükü üzerinde herhangi bir etkisi yoktur, bu da port yansıtmaya göre büyük avantajlara sahiptir.
2. Sıralı bir cihazdır. Basitçe söylemek gerekirse, ağa bağlanması gerekir, bu anlaşılabilir. Ancak bunun bir arıza noktası getirme dezavantajı da vardır ve çevrimiçi bir cihaz olduğu için, dağıtım zamanında, dağıtımın nerede yapıldığına bağlı olarak, mevcut ağın kesintiye uğraması gerekir.
3. Şeffaf, geçerli ağa işaret eden işaretçiyi ifade eder. Şöntten sonra erişim ağları, tüm ekipmanlar için geçerli ağ, herhangi bir etkiye sahip değildir, onlar için tamamen şeffaftır, elbette, ayrıca ağ şöntünü izleme ekipmanına trafik göndermeyi de içerir, ağ için izleme cihazı şeffaftır, sanki yeni bir elektrik prizine yeni bir erişimdeymişsiniz gibi, diğer mevcut cihazlar için, Hiçbir şey olmaz, cihazı sonunda çıkardığınızda ve aniden "Kolunu salla ve bulut değil" şiirini hatırladığınızda bile......
Birçok kişi port mirroring'e aşinadır. Evet, port mirroring de aynı etkiyi sağlayabilir. İşte Network Taps/Diverters ve Port Mirroring arasındaki bir karşılaştırma:
1. Anahtarın portu bazı hata paketlerini ve çok küçük boyutlu paketleri filtreleyeceğinden, port yansıtma tüm trafiğin elde edilebileceğini garanti edemez. Ancak, şönt, fiziksel katmanda tamamen "kopyalandığı" için verilerin bütünlüğünü garanti eder
2. Gerçek zamanlı performans açısından, bazı düşük uçlu anahtarlarda, port yansıtma, trafiği yansıtma portlarına kopyaladığında gecikmelere neden olabilir ve ayrıca 10/100m portlarını GIGA portlarına kopyaladığında da gecikmelere neden olur.
3. Port yansıtma, yansıtılmış bir portun bant genişliğinin tüm yansıtılmış portların bant genişliklerinin toplamından büyük veya eşit olmasını gerektirir. Ancak, bu gereklilik tüm anahtarlar tarafından karşılanmayabilir
4. Port mirroring'in switch üzerinde yapılandırılması gerekir. İzlenecek alanların ayarlanması gerektiğinde switch'in yeniden yapılandırılması gerekir.
Gönderi zamanı: 05-Ağu-2022
