A Netzwerk-AbhöreEin Ethernet-Tap, auch bekannt als Kupfer-Tap oder Daten-Tap, ist ein Gerät, das in Ethernet-basierten Netzwerken verwendet wird, um den Netzwerkverkehr zu erfassen und zu überwachen. Es ermöglicht den Zugriff auf die Daten, die zwischen Netzwerkgeräten fließen, ohne den Netzwerkbetrieb zu beeinträchtigen.
Der Hauptzweck eines Netzwerk-Taps besteht darin, Netzwerkpakete zu duplizieren und zur Analyse oder für andere Zwecke an ein Überwachungsgerät zu senden. Er wird typischerweise zwischen Netzwerkgeräten wie Switches oder Routern installiert und kann mit einem Überwachungsgerät oder Netzwerk-Analyzer verbunden werden.
Netzwerk-Taps gibt es in passiven und aktiven Varianten:
1.Passive NetzwerkanschlüssePassive Netzwerkabhörer benötigen keine externe Stromversorgung und funktionieren ausschließlich durch Aufteilen oder Duplizieren des Netzwerkverkehrs. Sie nutzen Techniken wie optische Kopplung oder elektrisches Balancing, um eine Kopie der durch die Netzwerkverbindung fließenden Pakete zu erstellen. Die duplizierten Pakete werden dann an das Überwachungsgerät weitergeleitet, während die Originalpakete ihre normale Übertragung fortsetzen.
Die üblicherweise in passiven Netzwerkabgriffen verwendeten Aufteilungsverhältnisse können je nach Anwendung und Anforderungen variieren. Es gibt jedoch einige Standard-Aufteilungsverhältnisse, die in der Praxis häufig anzutreffen sind:
50:50
Dies ist ein ausgewogenes Aufteilungsverhältnis, bei dem das optische Signal gleichmäßig aufgeteilt wird: 50 % gehen an das Hauptnetz und 50 % werden zur Überwachung abgegriffen. Dadurch wird für beide Pfade die gleiche Signalstärke gewährleistet.
70:30
Bei diesem Verhältnis werden etwa 70 % des optischen Signals an das Hauptnetz geleitet, während die verbleibenden 30 % für Überwachungszwecke genutzt werden. Dadurch steht dem Hauptnetz ein größerer Anteil des Signals zur Verfügung, während gleichzeitig die Überwachungsfunktionen erhalten bleiben.
90:10
Dieses Verhältnis sieht vor, dass der Großteil des optischen Signals (ca. 90 %) dem Hauptnetz zugeführt wird, während nur 10 % für Überwachungszwecke genutzt werden. Dadurch wird die Signalintegrität des Hauptnetzes priorisiert und gleichzeitig ein kleinerer Anteil für die Überwachung bereitgestellt.
95:05
Ähnlich dem Verhältnis 90:10 werden bei dieser Aufteilung 95 % des optischen Signals an das Hauptnetz weitergeleitet und 5 % für Überwachungszwecke reserviert. Dadurch wird das Signal im Hauptnetz nur minimal beeinträchtigt, während gleichzeitig ein kleiner Anteil für Analyse- oder Überwachungszwecke zur Verfügung steht.
2.Aktive Netzwerk-TapsAktive Netzwerk-Taps duplizieren nicht nur Pakete, sondern enthalten auch aktive Komponenten und Schaltkreise zur Erweiterung ihrer Funktionalität. Sie ermöglichen erweiterte Funktionen wie Datenverkehrsfilterung, Protokollanalyse, Lastverteilung und Paketaggregation. Für den Betrieb dieser Zusatzfunktionen benötigen aktive Taps in der Regel eine externe Stromversorgung.
Netzwerk-Taps unterstützen verschiedene Ethernet-Protokolle, darunter Ethernet, TCP/IP, VLAN und weitere. Sie können unterschiedliche Netzwerkgeschwindigkeiten verarbeiten, von niedrigeren Geschwindigkeiten wie 10 Mbit/s bis hin zu höheren Geschwindigkeiten wie 100 Gbit/s oder mehr, abhängig vom jeweiligen Tap-Modell und seinen Fähigkeiten.
Der erfasste Netzwerkverkehr kann zur Netzwerküberwachung, Fehlerbehebung, Leistungsanalyse, Erkennung von Sicherheitsbedrohungen und forensischen Netzwerkanalysen genutzt werden. Netzwerk-Taps werden häufig von Netzwerkadministratoren, Sicherheitsexperten und Forschern eingesetzt, um Einblicke in das Netzwerkverhalten zu gewinnen und Netzwerkleistung, Sicherheit und Compliance zu gewährleisten.
Was ist also der Unterschied zwischen passivem und aktivem Netzwerk-Tap?
A Passiver NetzwerkanschlussEs handelt sich um ein einfacheres Gerät, das Netzwerkpakete ohne zusätzliche Verarbeitungskapazitäten dupliziert und keine externe Stromversorgung benötigt.
An Aktiver Netzwerk-TapAndererseits umfasst es aktive Komponenten, benötigt Strom und bietet erweiterte Funktionen für eine umfassendere Netzwerküberwachung und -analyse. Die Wahl zwischen den beiden hängt von den spezifischen Überwachungsanforderungen, dem gewünschten Funktionsumfang und den verfügbaren Ressourcen ab.
Passiver NetzwerkanschlussVSAktiver Netzwerk-Tap
| Passiver Netzwerkanschluss | Aktiver Netzwerk-Tap | |
|---|---|---|
| Funktionalität | Ein passiver Netzwerk-Tap funktioniert, indem er den Netzwerkverkehr aufteilt oder dupliziert, ohne die Pakete zu verändern. Er erstellt einfach eine Kopie der Pakete und sendet diese an das Überwachungsgerät, während die Originalpakete ihre normale Übertragung fortsetzen. | Ein aktiver Netzwerk-Tap geht über die einfache Paketduplizierung hinaus. Er umfasst aktive Komponenten und Schaltkreise, um seine Funktionalität zu erweitern. Aktive Taps ermöglichen Funktionen wie Verkehrsfilterung, Protokollanalyse, Lastverteilung, Paketaggregation und sogar Paketmodifikation oder -einspeisung. |
| Leistungsbedarf | Passive Netzwerkabgriffe benötigen keine externe Stromversorgung. Sie sind für den passiven Betrieb ausgelegt und nutzen Techniken wie optische Kopplung oder elektrischen Abgleich, um die duplizierten Pakete zu erzeugen. | Aktive Netzwerkabzweiger benötigen eine externe Stromversorgung, um ihre zusätzlichen Funktionen und aktiven Komponenten zu betreiben. Sie müssen gegebenenfalls an eine Stromquelle angeschlossen werden, um die gewünschte Funktionalität zu gewährleisten. |
| Paketmodifikation | Modifiziert oder injiziert keine Pakete | Kann Pakete modifizieren oder einfügen, sofern unterstützt. |
| Filterfähigkeit | Eingeschränkte oder keine Filterfähigkeit | Pakete können anhand spezifischer Kriterien gefiltert werden. |
| Echtzeitanalyse | Keine Echtzeit-Analysefähigkeit | Kann Echtzeitanalysen des Netzwerkverkehrs durchführen. |
| Aggregation | Keine Paketaggregationsfähigkeit | Kann Pakete von mehreren Netzwerkverbindungen aggregieren |
| Lastverteilung | Keine Lastverteilungsfunktion | Kann die Last auf mehrere Überwachungsgeräte verteilen |
| Protokollanalyse | Begrenzte oder keine Protokollanalysekapazität | Bietet detaillierte Protokollanalyse und Dekodierung |
| Netzwerkstörung | Nicht-intrusiv, keine Netzwerkstörung | Kann zu leichten Störungen oder Verzögerungen im Netzwerk führen. |
| Flexibilität | Begrenzte Flexibilität hinsichtlich der Funktionen | Bietet mehr Kontrolle und erweiterte Funktionalität |
| Kosten | Im Allgemeinen günstiger | In der Regel höhere Kosten aufgrund zusätzlicher Funktionen |
Veröffentlichungsdatum: 07.11.2023
