Les TAP réseau (Terminal Access Point en anglais) sont le périphérique matériel le plus courant pour capturer le trafic réseau.
Un TAP réseau est essentiellement un matériel conçu pour accéder au trafic entre deux nœuds réseau et le refléter sur un port de moniteur où vous pouvez connecter un outil d’analyse tiers pour écouter.
TAP réseau : trois situations dans lesquelles ils sont nécessaires
Comme vous le voyez dans la première image, si vous voulez rassembler le trafic entre le commutateur et le routeur, vous pouvez facilement définir le port SPAN sur le commutateur pour le refléter, mais vous pouvez faire face à trois limitations de base :
- 1. Tout port SPAN dépend des ressources de traitement du commutateur où il est défini. Cela implique que l’utilisation de ports SPAN peut affecter les performances du réseau ou être inefficace en raison du nombre de paquets perdus.
- 2. Il peut arriver que les ports SPAN ne copient pas les paquets ou les trames corrompus d’une manière ou d’une autre vers le port moniteur, c’est-à-dire que les erreurs au niveau 1 et certaines au niveau 2 sont éliminées.
- 3. L’efficacité d’un port SPAN dépend de la relation entre la quantité de trafic que vous capturez et la capacité du port de supervision que vous utilisez.
Les TAP réseau sont utilisés pour être la solution à ces problèmes sur la base des caractéristiques suivantes :
- Les TAP réseau ne dépendent des ressources de traitement d’aucun nœud du réseau.
- Les TAP réseau sont capables de collecter toutes les données sur la liaison à laquelle ils sont connectés, y compris les paquets et les trames corrompus.
- Les TAP n’interfèrent pas avec le trafic qu’ils captent. Ils permettent également un flux continu de données, même en cas de coupure de courant.
De plus, les TAP réseau ont d’autres fonctionnalités intéressantes qui peuvent changer selon le fabricant. Si vous souhaitez avoir une liste des types de TAP et de leurs caractéristiques, nous vous recommandons de consulter cet article.
(https://insights.profitap.com/exploring-the-different-types-of-network-taps).
Maintenant que vous connaissez les principaux avantages des TAP réseau, il est important que vous sachiez quand utiliser ce type d’appareil C’est la situation principale à envisager d’utiliser un TAP réseau comme alternative à un port SPAN inefficace. Les liaisons à fort trafic sont également cruciales pour les entreprises, nous devons donc d’abord réfléchir à la façon dont nous pouvons interrompre le service réseau pour installer le TAP réseau. Ensuite, assurez-vous que le TAP que vous allez utiliser est un vrai TAP de réseau Bypass ou qu’il a cette fonction pour maintenir le trafic en cas de panne qui empêche l’arrêt du réseau. Nous vous recommandons de vérifier le volume de trafic offert par les différents fabricants. Il existe des TAP avec des ports de supervision à des ports de fibre optique 10/100Mbps RJ45 à 100Gbps. Si vous disposez de différents outils nécessitant la capture du trafic réseau (systèmes de sécurité, IDS, IPS, supervision, système d’analyse du trafic, etc.), des problèmes peuvent survenir car deux outils ou plus auront besoin d’accéder à un lien réseau spécifique, duplication du trafic, plusieurs points d’échec, etc. La première étape pourrait être de passer en revue les outils disponibles et de ne considérer que ceux que nous avons déjà utilisés ou ceux que nous devons utiliser dans un court laps de temps. Compte tenu du fait que chaque outil est aussi précieux que les informations avec lesquelles il travaille, nous devons définir une stratégie pour capturer, filtrer et fournir les données. Pour capturer des données, vous devez identifier les endroits où plusieurs outils devraient collecter du trafic, comme le trafic via le port interne d’un routeur central, qui pourrait être une cible pour un système de sécurité, un système de supervision et un système médico-légal. Dans ces segments réseau, nous pouvons utiliser un type de TAP réseau appelé Regeneration Network TAP, qui peut créer plusieurs copies d’un segment de réseau et les envoyer à différents ports de supervision. Dans la figure 2, vous avez un TAP avec un rapport 1:3. Pour filtrer, vous devez savoir quel type de TAP peut inclure des fonctionnalités de filtrage de données sur certaines règles afin de les capturer correctement, en suivant les exigences de chaque outil. Dans des environnements complexes avec de nombreux outils, des exigences très spécifiques et de nombreux points de rencontre (ou si vous devez faire face à un projet ambitieux d’architecture de visibilité totale), vous pouvez envisager d’inclure un Network Packet Broker (NPB). Un NPB est également un matériel orienté vers la concentration des données collectées par les différents TAP et qui offre un niveau de filtrage et de livraison de données très sophistiqué. Se lancer dans les technologies de virtualisation des serveurs est un défi pour la supervision. Dans les environnements hautement virtualisés, il peut y avoir beaucoup de trafic entre les serveurs virtuels qui ne traverse jamais un port réseau physique, et l’analyse de ce trafic peut être une étape critique dans la supervision des performances des applications. Le trafic entre les serveurs virtuels est communément appelé trafic est-ouest pour le distinguer du trafic nord-sud, qui est le trafic qui traverse des liaisons réseau, par exemple le trafic entre les utilisateurs et un serveur spécifique. Il existe un type de TAP réseau pour capturer le trafic est-ouest appelé TAP virtuel. Cette version logicielle d’un TAP réseau est configurée pour capturer le trafic de machine virtuelle et l’envoyer aux outils de supervision. Lors du choix d’un TAP virtuel, il est très important de prendre en compte ceux qui sont entièrement compatibles avec les hyperviseurs (VMware, Hyper-V, KVM, etc.) de notre installation. Un autre aspect important est la performance de la plate-forme après l’installation d’un TAP virtuel ; Il est nécessaire de prendre en compte la consommation de ressources (CPU, mémoire) du TAP virtuel et l’impact de l’envoi des données collectées via le réseau. Nous recommandons des TAP virtuels capables de filtrer les données avant de les envoyer sur le réseau. De plus, le prix est souvent l’un des principaux problèmes des TAP réseau. Cependant, les équipements peuvent être trouvés dans une large gamme de prix, de quelques centaines de dollars à des milliers de dollars, selon la spécificité du TAP et ses caractéristiques. Choisissez le TAP approprié pour trouver le juste équilibre entre votre budget et vos objectifs de supervision et de sécurité. N’oubliez pas de partager votre expérience avec les TAPs réseau et de demander un essai de supervision réseau de Pandora FMS en remplissant ce formulaire simple.
Divers outils nécessitant une capture du trafic réseau
Supervision du trafic entre les serveurs virtuels