Ein Network-TAP oder Netzwerk-TAP ist ein Netzwerkgerät, das den Abgriff von Datenverkehr in einem Rechnernetz wie beispielsweise Ethernet ermöglicht und einem Sniffer zur Analyse zuführt. TAPs werden verwendet zur Fehlersuche und Netzwerkverkehrsanalyse, zur Angriffserkennung durch ein Intrusion Detection System, zur IT-Forensik oder zur Telekommunikationsüberwachung.
Der Begriff TAP stammt vom englischen wiretapping (Abhören oder Anzapfen) und wird teilweise als Abkürzung für englisch Test Access Point (Testzugangspunkt) definiert.[1]
Es gibt je nach verwendeter Netzwerkschnittelle verschiedene Realisierungsformen von Network-TAPs, wobei allen gemeinsam ist, dass sie über drei oder mehr Netzwerkanschlüsse (Ports) verfügen. Über zwei der Anschlüsse, oft als Port-A und Port-B bezeichnet, wird der abzugreifende Datenstrom transparent geleitet. Der dritte Anschluss (Monitor-Port) dient nur als Ausgang, über den die abgegriffenen Daten zur weiteren Analyse ausgegeben werden. Wesentlich ist, dass der Datenabgriff aller Daten von Port-A und Port-B möglichst rückwirkungsfrei und ohne Veränderungen passiert. Das umfasst auch, dass abgegriffene Daten nicht verändert werden, beispielsweise Datenpakete mit fehlerhafter Prüfsumme nicht unterdrückt oder korrigiert werden, die Latenz möglichst gering und idealerweise gar nicht vorhanden ist, und dass von der Seite des Monitor-Ports keine Daten zu den Port-A und Port-B übertragen werden können. Bei Vollduplexbetrieb, das heißt Daten können zwischen dem transparenten Port-A und Port-B in beide Richtungen gleichzeitig übertragen werden, muss der Monitor-Port die doppelte Datenrate aufweisen um auch bei voller Auslastung in beiden Übertragungsrichtungen keinen Datenverlust zu erleiden. Alternativ können auch zwei Monitor-Ports vorhanden sein, wobei jeder Monitor-Port dann die Daten von nur einer Senderichtung überträgt.
Network-TAPs lassen sich nach verschiedenen Kriterien unterteilen. Übliche Einteilungen erfolgen nach dem PHY, also dem physischen Medium wie beispielsweise Lichtwellenleiter oder drahtgebundene Übertragungsmedien wie Twisted-Pair-Kabel. Weiters wird in aktive TAPs, welche die abgegriffenen Signale bei Bedarf verstärken oder mit bestimmter Struktur am Monitor-Port zusammenfügen können wie die sogenannten englisch Aggregation TAPs, und passive TAPs unterschieden.[2] Passive TAPs stellen die einfachste Bauform dar und umfassen nur den physischen Abgriff ohne jede Signalverstärkung oder Datenverarbeitung. Sie sind unter anderem bei Lichtwellenleitern üblich wo durch den Aufbau ein bestimmter Anteil der optischen Leistung aus dem Lichtwellenleiter auf den Monitor-Port ausgekoppelt wird.
Da TAPs in manchen Anwendungen, wie bei der permanenten Überwachung in zentralen Vermittlungsstellen, auch über längere Zeiträume in Hauptdatenleitungen eingebaut bleiben, spielt auch die Ausfallsicherheit der TAP-Einheit eine Rolle. So verfügen diese TAPs über zusätzliche, meist rein passive aufgebaute Brückenschaltungen, welche den Port-A und Port-B beispielsweise bei einem Stromausfall miteinander verbinden. Dabei ist zwar ein Verlust der Monitorfunktion gegeben, aber es wird die Datenübertragung zwischen Port-A und Port-B durch das ausgefallene TAP nicht unterbrochen.
Die Funktion von aktiven TAPs kann insbesondere im Bereich der kabelgebundenen Ethernet-Netzwerken auch durch manche Switches mit umfangreichen Managementfunktionen wahrgenommen werden, in dem portbasierte VLANs zur Isolierung des Monitor-Ports von den Ports welche abgegriffen werden sollen mit der Funktion des Port-Mirroring zur Datenausleitung auf den Monitor-Port, kombiniert wird. Dabei muss beachtet werden, dass Switches im Aufbau nicht für den Abgriff (mirror) von Daten optimiert sind und es bei hohen Datenraten zu Datenverlust am Monitor-Anschluss kommen kann.