Los TAPs de red (Terminal Access Point por sus siglas en inglés) son el dispositivo de hardware más común a la hora de capturar tráfico de red.
Un TAP de red es básicamente un hardware diseñado para acceder al tráfico entre dos nodos de red y reflejarlo en un puerto de monitor donde podemos conectar una herramienta de análisis de terceros para escuchar.
TAPs de red: tres situaciones en las que son necesarios
Como vemos en la primera imagen, si queremos reunir el tráfico entre el switch y el router podemos definir fácilmente el puerto SPAN en el switch para reflejarlo, pero podemos enfrentarnos a tres limitaciones básicas:
- Cualquier puerto SPAN depende de los recursos de procesamiento del switch donde está definido. Esto implica que el uso de puertos SPAN puede afectar el rendimiento de la red o ser ineficiente por la cantidad de paquetes perdidos.
- Puede ocurrir que los puertos SPAN no copien los paquetes o frames corruptos de alguna manera al puerto de monitor, es decir que los errores en el nivel 1 y algunos en el nivel 2 se eliminen.
- La eficiencia de un puerto SPAN depende de la relación entre la cantidad de tráfico que estamos capturando y la capacidad del puerto de monitorización que estamos utilizando.
Los TAPs de red se utilizan para ser la solución a esos problemas basándose en las siguientes características:
- No dependen de los recursos de procesamiento de ningún nodo de red.
- Son capaces de recopilar todos los datos en el enlace al que están conectados, incluyendo paquetes y frames dañados.
- No causan interferencias en el tráfico que están recogiendo. También permiten un flujo continuo de datos, incluso en caso de fallo o corte de la alimentación eléctrica.
Además, los TAPs de red tienen otras características interesantes que pueden cambiar dependiendo del fabricante. Si te interesa disponer de una lista de tipos de TAPs y sus características recomendamos consultar este artículo.
Ahora que conoces las principales ventajas de los TAPs de red, es importante que sepas cuándo hay que utilizar este tipo de dispositivo…
Monitorización de un enlace de red con un alto nivel de tráfico
Esta es la situación principal para considerar el uso de un TAP de red como alternativa a un puerto SPAN poco eficiente.
Los enlaces con un alto nivel de tráfico también son cruciales para las empresas, por lo que en primer lugar tenemos que pensar cómo podemos interrumpir el servicio de la red para instalar el TAP de red.
A continuación, asegúrate de que el TAP que vas a utilizar sea un TAP de red Bypass real o que tenga esta función para mantener el tráfico fluido en caso de que se produzca algún fallo que impida el cierre de la red.
Recomendamos comprobar el volumen de tráfico ofrecido por los diferentes fabricantes. Existen TAPs con puertos de monitor desde RJ45 de 10/100Mbps hasta puertos de fibra óptica de 100Gbps.
Herramientas que requieren captura de tráfico de red
Si dispones de diferentes herramientas que requieren capturar de tráfico de red (sistemas de seguridad, IDS, IPS, monitorización, sistema de análisis de tráfico, etc.), pueden surgir problemas ya que dos o más herramientas necesitarán acceso a un enlace de red específico, duplicación de tráfico, varios puntos de fallo, etc.
El primer paso podría ser revisar las herramientas disponibles y contemplar sólo las que ya hemos utilizado o las que necesitamos utilizar en poco tiempo.
Teniendo en cuenta que cada herramienta es tan valiosa como la información con la que trabaja, tenemos que definir una estrategia para capturar, filtrar y entregar los datos.
Para capturar datos, tenemos que identificar los lugares donde más de una herramienta debe reunir tráfico, como por ejemplo el tráfico a través del puerto interno de un router central, que podría ser un objetivo para un sistema de seguridad, un sistema de monitorización y un sistema forense.
En esos segmentos de red podemos utilizar un tipo de TAP de red llamado TAP de red de regeneración (Regeneration Network TAP en inglés), que puede crear múltiples copias de un segmento de red y enviarlas a diferentes puertos de monitorización. En la figura 2, tenemos un TAP con un ratio 1:3.
Para filtrar, tenemos que saber qué tipo de TAPs pueden incluir características de filtrado de datos sobre determinadas reglas con el fin de capturar adecuadamente, siguiendo los requisitos de cada herramienta.
En entornos complejos con muchas herramientas, requisitos muy específicos y muchos puntos de encuentro (o si tienes que enfrentarte a un ambicioso proyecto de Total Visibility Architecture) puedes pensar en incluir un Network Packet Broker (NPB).
Un NPB es también un hardware orientado a concentrar los datos recogidos por los diferentes TAPs y que ofrece un nivel muy sofisticado de filtrado y entrega de datos.
Monitorización del tráfico entre servidores virtuales
Entrar en las tecnologías de virtualización de servidores supone un reto para la monitorización. En entornos altamente virtualizados puede haber mucho tráfico entre servidores virtuales que nunca cruza un puerto físico de red y analizar este tráfico puede ser un paso fundamental para la monitorización del rendimiento de las aplicaciones.
El tráfico entre servidores virtuales se denomina comúnmente tráfico este-oeste para establecer una diferencia con el tráfico norte-sur, que es el tráfico que fluye a través de los enlaces de red, por ejemplo el tráfico entre usuarios y un servidor específico.
Existe un tipo de TAP de red para capturar el tráfico este-oeste llamado TAP virtual. Esta versión basada en software de un TAP de red está configurada para capturar el tráfico de las máquinas virtuales y enviarlo a las herramientas de monitorización.
Recomendaciones
A la hora de elegir un TAP Virtual, es muy importante tener en cuenta aquéllos que son totalmente compatibles con los hipervisores (VMware, Hyper-V, KVM, etc.) de nuestra instalación.
Otro aspecto importante es el rendimiento de la plataforma tras la instalación de un TAP Virtual; hay que considerar el consumo de recursos (CPU, Memoria) del TAP virtual y el impacto del envío de los datos recogidos a través de la red.
Recomendamos TAPs Virtuales capaces de filtrar los datos antes de enviarlos a través de la red.
Además, el precio suele ser uno de los principales problemas de los TAPs de red. Sin embargo, se pueden encontrar equipos en una amplia gama de precios, desde unos pocos cientos de dólares hasta miles de dólares, dependiendo de la especificidad del TAP y sus características.
Elige el TAP apropiado para encontrar el equilibrio correcto entre tu presupuesto y tus objetivos en monitorización y seguridad.
No olvides compartir tu experiencia con los TAPs de red y solicitar una prueba de monitorización de red de Pandora FMS rellenando este sencillo formulario.
