Un TAP o "Test Access Port" es un dispositivo de red diseñado para capturar tráfico. Generalmente son usados por aplicaciones de seguridad debido a que son no-intrusivos, no-detectables, soportan full-duplex y dejan pasar el tráfico aunque hayan perdido la energía.
Pero repasemos brevemente cuales son los métodos mas usuales utilizados para capturar tráfico:
- SPAN: Switched Port Analyzer, también conocido como Port Mirroring, nos permitirá replicar el tráfico de un puerto del Switch a otro en donde tenemos el sniffer. La desventaja es que si queremos capturar el tráfico de mas de un puerto vamos a perder paquetes, ya que el switch no esta diseñado para esta tarea y le dará prioridad al switching.
Finalmente llegamos a los TAPs. Por ejemplo, en el caso de que queramos capturar todo el tráfico de Internet, deberíamos poner al TAP entre nuestro border router y el firewall.
Los TAPs mas básicos, poseen cuatro puertos, osea que para nuestro ejemplo deberíamos destinar un puerto al router, otro al firewall, y los dos puertos restantes son para la captura de tráfico.
De los dos puertos destinados para la captura, un puerto captura el tráfico de ida, mientras que el otro puerto captura el tráfico de vuelta, por lo que necesitaríamos dos computadoras para poder capturar los dos flujos de tráfico.
Los TAPs que trabajan de esta forma se conocen como "no-agregados" porque tienen la complejidad de que luego hay que unir las dos capturas en un único archivo, pero también son los mas económicos como el que vemos a continuación:
Obviamente también existen los TAPs "agregados", que a través de cada puerto de monitoreo que posean, nos proveerán de los dos flujos de tráfico ya unidos. Claro que el precio de estos equipos aumentan considerablemente:
Estos TAPs pertenecen a NetOptics, pero podemos encontrar muchos otros fabricantes.
1 comentario:
Muy bueno, me imaginaba que algo así debía existir, más con los minihubs completamente extintos.
Publicar un comentario