nTap
针对主机/云/容器/虚拟机的虚拟网络分路器
nTap是一个虚拟的软件分路器,可用于物理/虚拟/云环境,以远程捕获流量(相对于监测地点而言),并以安全的方式将数据包传送到监测点。当基于流量的分析工具(如nProbe/nProbe Cento)不适合时,就需要进行数据包捕获,因为需要进行数据包级分析。物理分路器和nTap之间的主要区别包括:
- nTap能够远程传送监测到的流量(物理分路器需要直接电缆连接,以强制监控生成流量的位置)。
- nTap通过端到端加密方式传送数据包,防止入侵者观看监控的流量。
- nTap可以在监控的流量上应用数据包过滤(物理分路器无法做到这一点:更昂贵的数据包代理NPB提供这个功能)。
- nTap可以用于容器和虚拟机以及高动态环境,如Kubernetes(物理分路器只能用于物理网络)
nTap是基于两个组件的:
- nTap remote 它安装在需要监控流量的远程设备上。
- nTap collector接收由nTap remote发送的加密数据包,对其进行解密,并将其推送到一个虚拟的以太网接口上,你可以在那里安装应用,如Wireshark、tcpdump、Suricata或Snort。
nTap collector也可以选择性地将数据包发送到Open vSwitch,以获得最大的灵活性。
ntop应用程序(如nProbe(Enterprise M/L)和ntopng(Enterprise L))嵌入了nTap收集器,因此您可以使用nProbe/ntopng直接连接(一个或多个)nTap Remote,而无需使用nTap收集器。
容器、Kubernetes和虚拟机
nTap可以在容器和虚拟机内使用。通常,tap组件被部署在远程主机/容器上,其IP地址可以是动态的。相反,收集器应用程序需要在具有静态IP地址的主机上,因为它需要接收由tap发送的数据包。在运行tap应用程序的主机上不需要安装许可证。
安全和性能
与许多其他商业的虚拟分路器应用相反,nTap通过UDP的加密信道传递数据包。通信总是单向的,从分路器到收集器/ntopng/nProbe,没有返回通道通信:这是一个关键要求,以便在不允许返回通道的高安全网络上运行nTap(注意,TCP连接是双向的,因为一些数据包,如ACK,需要被送回)。
端到端加密使用最先进的对称加密,该加密利用(如果可用)AVX指令来实现最高性能。除了原始数据包之外,nTap还添加了一个微层,其中有一些元数据(如:数据包捕获时间和长度),而加密不会增加要传输的原始数据包大小。
安装和用户指南
nTap 软件包可在 packages.ntop.org 下载。本页提供了 nTap 用户指南。
许可
原则是,当 nTap 与 ntopng 和 nProbe 一起使用时,不需要商业许可证。这是可能的,因为企业 L 和 nprobe 企业 M/L 包含本机代码支持。总之:
- romate Tap应用程序不需要许可证。这使你可以在高度动态的环境中部署它,如容器和虚拟机。
- collector应用程序需要许可证,并且需要与除ntopng Enterprise L和nProbe Enterprise M/L之外的应用程序一起使用。
如果你打算将nTap与非ntop应用程序一起使用,你需要购买许可。
注意,你可以使用多个romate TAP,将流量发送到同一个nTap collector或nProbe/ntopng应用程序。