FEDER
C/María Berdiales, 20, 4ª Vigo (Spain)
+34 886 251 058
info@inprosec.com
es
en
¿Hablamos?

TAPs vs Port Mirroring

Techpapers

El horizonte de la transición digital del sector industrial, la Industria 4.0, es la integración de los sistemas de control y producción industriales (OT, Operation Technology) con tecnologías de la información (IT, Information Technology). Esta convergencia puede generar enormes beneficios operativos pero también expone infraestructuras potencialmente críticas a todas las vulnerabilidades de ciberseguridad ya conocidas, para las que los mecanismos de defensa o mitigación no siempre serán aplicables. Este peligro se inscribe en una problemática más general, ya que los dos campos que se están integrando en este proceso tienen naturalezas diferentes (podría argumentarse que en muchos aspectos complementarias): la prioridad en las plantas industriales será siempre la disponibilidad y la seguridad física, no están diseñadas para una rutina de actualizaciones ni parcheos, la comunicación con los componentes de las redes no siempre hablan protocolos abiertos, y un largo etcétera separan ambos mundos1,2

Para proteger entornos industriales es fundamental recolectar y observar el tráfico de red. En este contexto, InprOTech Guardian, nuestra solución de monitorización de redes industriales en tiempo real, permite analizazr le tráfgico de redes industriales de forma continua y no intrusivb, dfacilitando la detección temprana de anomalías, comportramientos no autorizados, fallos operativos y posibles indicdentes de ciberseguridad, además de aportar vicsibilidad sobre activos conectados, vulnerabilidades de los servicios desplegados, y patrones normales de comunicación. Para adaptrarse a distintos entornos y requisitos operativos, InprOTech Guardian3 puede recolectar el tráfico utilizando dos tecnologías disponibles en la industria: el Port Mirroring (tambén conocido como SPAN, Switched Port Analyzer) y los TAPs (Test Access Points)4.

Este artículo hace un resumen sobre qué son, cómo funcionan, sus ventajas e inconvenientes, y cuál es más adecuado según el contexto industrial. 

Contenidos ocultar
1 Port Mirroring – SPAN
1.1 Ventajas de Port Mirroring
1.2 Desventajas de Port Mirroring
2 TAPs (Test Access Point)
2.1 Tipos de TAPs
2.2 Ventajas de los TAPs
2.3 Desventajas de los TAPs
3 Resumen
4 Referencias

Port Mirroring – SPAN

Port Mirroring es una tecnología presente en muchos switches y dispositivos de red que permite replicar el tráfico de uno o varios puertos o VLANs hacia otro puerto, el denominado puerto espejo, donde puede ser analizado. 

Típicamente, un administrador indica el/los puertos origen que se quieren a duplicar y un puerto destino, desde donde se podrá leer el tráfico. Hoy en día es una funcionalidad básica que se puede configurar ágilmente desde los clientes web de gestión del switch. Algunos fabricantes incluyen también opciones para filtrar el tráfico antes de su salida, y también opciones más avanzadas como el RSPAN (Remote SPAN, es decir, la duplicación de tráfico de un switch de la red a otro)5.  

Ilustración 1: diagrama de funcionamiento de un port mirroring (https://www.devicemag.com/cisco-mirroring-port/)

 

Ventajas de Port Mirroring

  1. Costo bajo: no requiere hardware adicional aparte del switch.
  2. Flexible: puedes seleccionar múltiples puertos o VLANs.
  3. Configuración remota: se puede cambiar por software sin acceder físicamente a cables.

Desventajas de Port Mirroring

  1. Pérdida de paquetes: En situaciones de alto tráfico, el switch puede no copiar todo. Además, el espejo puede saturarse y descartar datos.
  2. Impacto en rendimiento del switch: Algunas implementaciones degradan el rendimiento del switch durante mirroring.
  3. Visibilidad limitada: No se puede ver tráfico que no atraviese el switch. No captura tráfico físico entre dispositivos que no pasan por los puertos reflejados.

 

TAPs (Test Access Point)

Los taps tienen una larga historia desde la invención del telégrafo, y una definición general como un pequeño dispositivo que se puede acoplar a un dispositivo de comunicación como un teléfono para escuchar las comunicaciones de forma secreta. Sin embargo, en el mundo de las telecomunicaciones y la ciberseguridad, esta definición se ha focalizado a aquella pieza de hardware físico que se inserta en un enlace de red para dividir el flujo de tráfico y enviar una copia exacta a una herramienta de análisis, sin interferir con el tráfico original. En este proceso de redifinición, su nombre se ha transformado en el acrónimo de Test Access Point6.

Desde la aparición de estos primeros TAPs de red, la tecnología de comunicaciones ha evolucionado de forma significativa: las velocidades se han incrementado, han surgido nuevos protocolos y la fibra óptica de alta velocidad se han convertido en el estándar.

Paralelamente, las organizaciones necesitan desplegar cada vez más herramientas de seguridad y monitorización para proteger sus activos digitales, garantizar la continuidad del servicio y mejorar la experiencia de los usuarios.

 

Ilustración 2: tres ejemplos de dispositivos TAP

 

Tipos de TAPs

Como resultado, la tecnología de TAPs de red también ha evolucionado, y hoy ofrece múltiples modos de funcionamiento que deben tenerse en cuenta a la hora de diseñar una arquitectura de conectividad fiable y resiliente7. Funcionalmente, se pueden clasificar en:

  1. Breakout “Normal” TAPs: La copia y envío de tráfico a las herramientas de monitorización tiene alta prioridad para asegurar que no haya pérdida de paquetes.
  2. Filtering TAPs: Establece reglas de filtrado del tráfico antes de que llegue a las herramientas de monitorización
  3. Aggregation TAPs: Une tráfico de diferentes fuentes.
  4. Replication TAPs: Crea varias copias de los datos de tráfico, de forma que varios dispositivos pueden realizar lecturas desde varios puntos de la red
  5. Bypass TAPs: Evita que dispositivos en la red produzcan caídas de la red en caso de error o de necesitar una parada para realizar actualizaciones.
  6. Media Changing TAPs: Asegura la compatibilidad entre redes y dispositivos conectados ante cambios y mejoras en la tecnología aplicada.

 

Ventajas de los TAPs

  1. Captura completa del tráfico: No hay pérdida de paquetes por saturación del dispositivo de captura. Se obtienen tramas físicas exactas, incluidas colisiones o errores.
  2. No afecta al rendimiento de la red: Al ser pasivo, no introduce latencia ni altera el tráfico.
  3. Mayor fiabilidad: es una solución más atractiva para monitorizaciones industriales críticas, ya que como se mencionó anteriormente, existen TAPs que mantienen la conectividad incluso si pierden alimentación (by-pass).
  4. Visibilidad profunda: Permite capturar tráfico que no pasa por switches inteligentes o VLANs complicadas.

 

Desventajas de los TAPs

  1. Costo: Son dispositivos físicos adicionales que dependiendo de la instalación pueden llegar a ser caro si se despliegan en muchos enlaces.
  2. Instalación física: Requiere acceso a cableado y posibles paradas de servicio breves.
  3. Gestión y expertise: Se requiere planificación de puertos de monitorización y análisios. Además, comparado con la activación del port mirroring, requiere un nivel de conocimientos sobre los diferentes tipos y modelos que en muchas ocasiones los tienen solo los fabricantes y asociados.  

 

Resumen

En resumen, tanto los TAPs como el port mirroring permiten obtener visibilidad del tráfico en redes industriales, pero responden a necesidades y contextos distintos. El port mirroring destaca por su facilidad de despliegue y bajo coste, al apoyarse en las capacidades del propio switch, lo que lo hace adecuado para entornos con menor volumen de tráfico o para análisis puntuales; sin embargo, su dependencia del rendimiento del equipo de red puede provocar pérdidas de paquetes y una visibilidad incompleta en escenarios exigentes. Los TAPs, por el contrario, ofrecen una captura pasiva, continua y fiel del tráfico, sin impactar en la red ni en los dispositivos de producción, lo que los convierte en la opción más robusta y fiable para entornos industriales críticos donde la disponibilidad y la precisión del análisis son prioritarias. En la práctica, la elección entre uno u otro —o incluso su uso combinado— depende del equilibrio deseado entre coste, facilidad de implantación y nivel de visibilidad requerido. 

Ambos métodos son utilizados por InprOTech Guardian para capturar pasivamente el tráfico industrial para realizar todas las tareas de monitorización y análisis necesarias para prevenir, mitigar y estudiar posibles problemas  y ataques.

 


Referencias

[1] https://www.incibe.es/en/incibe-cert/blog/itot-convergence

[2] Security of IT/OT Convergence: Design and Implementation Challenges. B. Zahran et al.: https://arxiv.org/pdf/2302.09426

[3] https://inprotech.es/guardian/

[4] https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/best-practices/traffic-mirroring-methods

[5] SPAN (y RSAN) es terminología de CISCO, los primeros en incorporar port mirroring en sus switches. 

[6] Técnicamente, estaríamos hablando de un retroacrónimo: https://es.wikipedia.org/wiki/Retroacr%C3%B3nimo

[7] https://www.garlandtechnology.com/wpi-network-taps-101

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Archivos

keyboard_arrow_up