NETWORK

Network Monitoring

Tap vs SPAN

span port: Le SPAN permet à un switch de rediriger le trafic d’un port source vers un port de destination ceci afin d’analyser ce flux.
(local SPAN et Remote Rspan)
http://www.nemako.net/dc2/index.php?post/SPAN-%3A-sniffer-son-reseau-pour-mieux-le-comprendre

AVANTAGES Inconvénients du PORT MIRRORING

https://www.performancevision.com/fr/blog/comment-capturer-led-trafic-reseau-span-vs-tap/

voir aussi p.57 chapitre 3 -Applied Network Security Monitoring: Collection, Detection, and Analysis –De Chris Sanders, Jason Smith
https://books.google.fr/books?id=TTIDAQAAQBAJ&pg=PA56&lpg=PA56&dq=span+contre+tap&source=bl&ots=Uw1JQ1DL4Z&sig=4ujsibxZs4QhBD_uF588AqujS88&hl=fr&sa=X&ved=2ahUKEwie-7GV0_jcAhUSWhoKHQs2CQI4ChDoATADegQIBxAB#v=onepage&q=span%20contre%20tap&f=false

Avantages

  • Faible coût (cette fonctionnalité est intégrée dans la plupart des commutateurs)
  • Peut être configuré à distance via IP ou le port Console
  • C’est la seule façon de capturer le trafic intra-switch
  • Une bonne façon de capturer le trafic sur plusieurs ports à la fois

Inconvénients

  • Pas adéquat pour des liens full-duplex entièrement utilisés (vous pouvez perdre des paquets)
  • Elimination des erreurs physiques
  • Impact sur la CPU du commutateur
  • Peut modifier le timing de la trame (avec un impact sur l’analyse des temps de réponse)
  • SPAN a une priorité moindre que le transfert des données port à port

TAP réseau

Le TAP réseau est un équipement matériel qui peut passivement capturer le trafic sur le réseau. Il est couramment utilisé pour surveiller le trafic réseau entre deux points du réseau. Si le réseau entre ces deux points se compose d’un câble physique, un TAP réseau peut être le meilleur moyen de capturer le trafic.

Le TAP réseau comporte au moins trois ports – un port A, un port B, et un port de monitoring. Pour placer un TAP entre les points A et B, le câble réseau entre le point A et le point B est remplacé par une paire de câbles, l’un va vers le port A du TAP, le second allant vers le port B du TAP. Le TAP transfert tout le trafic entre les deux points du réseau, de sorte qu’ils sont toujours connectés les uns aux autres. Le TAP copie également le trafic vers son port de monitoring, permettant ainsi l’écoute du trafic par l’équipement d’analyse.

Les TAPs réseau sont couramment utilisés pour des équipements de surveillance et de collecte tel que Performance Vision.  Les TAPs peuvent également être utilisés dans des applications de sécurité car ils sont transparent, ne sont pas détectables sur le réseau, peuvent composer avec  les réseaux full-duplex et non partagés, et laisseront généralement passer le trafic même si le tap cesse de fonctionner ou n’est plus alimenté.

Avantages & inconvénients des TAPs

Avantages

  • Pas de risque de perte de paquets
  • Monitoring de tous les paquets (y compris les erreurs physiques -MAC & media)
  • Fournit une visibilité totale y compris en cas de congestions

Inconvénients

  • Le dispositif peut nécessiter deux interfaces d’écoute sur l’équipement d’analyse
  • Cela a un coût non négligeable
  • Pas de visibilité sur le trafic intra-switch
  • Ne convient pas pour l’observation d’un trafic ciblé