Kullanıcı çevrimiçi davranış analizi, anormal trafik izleme ve ağ uygulaması izleme gibi ağ trafiğini izlemek için ağ trafiğini toplamanız gerekir. Ağ trafiğini yakalamak hatalı olabilir. Aslında, mevcut ağ trafiğini kopyalayıp izleme cihazına göndermeniz gerekir. Ağ ayırıcı, Ağ TAP olarak da bilinir. Sadece bu işi yapar. Ağ TAP'ın tanımına bir göz atalım:
I. Ağ Musluğu, bir bilgisayar ağı üzerinden akan verilere erişmenin bir yolunu sağlayan bir donanım aygıtıdır. (Vikipedi'den)
II.AAğ MusluğuTest Erişim Portu olarak da bilinen , doğrudan bir ağ kablosuna takılan ve bir ağ iletişim parçasını diğer cihazlara gönderen bir donanım aygıtıdır. Ağ bölücüler, ağ saldırı tespit sistemlerinde (IPS), ağ dedektörlerinde ve profil oluşturucularda yaygın olarak kullanılır. Ağ cihazlarına iletişimin kopyalanması artık genellikle bir anahtarlama portu analizörü (span port) aracılığıyla yapılır; bu, ağ anahtarlamada port yansıtma olarak da bilinir.
III. Ağ Dinleme Noktaları, pasif izleme için kalıcı erişim noktaları oluşturmak amacıyla kullanılır. Anahtarlar, yönlendiriciler ve güvenlik duvarları gibi herhangi iki ağ cihazı arasında bir dinleme noktası veya Test Erişim Noktası kurulabilir. Saldırı tespit sistemi, pasif modda konuşlandırılmış saldırı önleme sistemi, protokol analizörleri ve uzaktan izleme araçları gibi hat içi veri toplamak için kullanılan izleme cihazları için bir erişim noktası işlevi görebilir (NetOptics'ten).
Yukarıdaki üç tanımdan, Ağ TAP'in temel olarak birkaç özelliğini çıkarabiliriz: donanım, satır içi, şeffaf
İşte bu özelliklere bir göz atalım:
1. Bağımsız bir donanım parçasıdır ve bu nedenle mevcut ağ cihazlarının yükü üzerinde herhangi bir etkisi yoktur; bu da port yansıtmaya göre büyük avantajlara sahiptir.
2. Hat içi bir cihazdır. Basitçe söylemek gerekirse, ağa bağlı olması gerekir, bu da anlaşılabilir bir durumdur. Ancak bunun bir arıza noktası oluşturması gibi bir dezavantajı da vardır ve çevrimiçi bir cihaz olduğu için, konuşlandırıldığı yere bağlı olarak, dağıtım sırasında mevcut ağın kesintiye uğraması gerekir.
3. Şeffaf, mevcut ağa işaret eden göstergeyi ifade eder. Şönt sonrası erişim ağları, tüm ekipmanlar için mevcut ağdır ve herhangi bir etkisi yoktur, onlar için tamamen şeffaftır. Elbette, ağ şöntünün izleme ekipmanına trafik göndermesini de içerir. Ağ izleme cihazı şeffaftır, sanki yeni bir elektrik prizine yeni bir erişimdeymişsiniz gibi. Diğer mevcut cihazlar için ise hiçbir şey olmaz, hatta cihazı sonunda çıkardığınızda ve aniden "Kolunu salla, buluta dokunma" şiirini hatırladığınızda bile...
Birçok kişi port yansıtmaya aşinadır. Evet, port yansıtma da aynı etkiyi yaratabilir. İşte Ağ Dinleme/Yönlendiricileri ile Port Yansıtma arasındaki bir karşılaştırma:
1. Anahtarın portu bazı hata paketlerini ve çok küçük boyutlu paketleri filtreleyeceğinden, port yansıtma tüm trafiğin alınabileceğini garanti edemez. Ancak, yönlendirici fiziksel katmanda tamamen "kopyalandığı" için verilerin bütünlüğünü sağlar.
2. Gerçek zamanlı performans açısından, bazı düşük seviyeli anahtarlarda, port yansıtma, trafiği yansıtma portlarına kopyalarken gecikmelere neden olabilir ve ayrıca 10/100m portlarını GIGA portlarına kopyalarken de gecikmelere neden olur.
3. Port yansıtma, yansıtılmış bir portun bant genişliğinin, yansıtılmış tüm portların bant genişliklerinin toplamından büyük veya ona eşit olmasını gerektirir. Ancak, bu gereklilik tüm anahtarlar tarafından karşılanmayabilir.
4. Switch üzerinde port yansıtmanın yapılandırılması gerekir. İzlenecek alanların ayarlanması gerektiğinde, switch'in yeniden yapılandırılması gerekir.
Gönderi zamanı: 05-Ağu-2022
