IT OT Convergentie

TAP

2 minuten leestijd

Wat is een TAP?

Een TAP (Test Access Point) is een hardwareapparaat dat netwerkverkeer volledig passief kopieert voor Monitoring of analyse. In tegenstelling tot SPAN wordt een TAP fysiek tussen twee netwerkapparaten geplaatst en levert het een 100% kopie van alle datastromen, inclusief fouten en laag 1-signalen.

TAP’s worden in OT-netwerken gebruikt voor betrouwbare, permanente Netwerkmonitoring, vooral in kritieke omgevingen waar zichtbaarheid essentieel is.

🧠 Hoe werkt een TAP?

  1. Een TAP wordt fysiek geplaatst tussen twee netwerkapparaten (bijv. tussen een PLC en een Switch)
  2. Het TAP-apparaat heeft doorgaans vier poorten:
  • Twee netwerkpoorten (link A ↔ link B)
  • Twee monitoringpoorten (output A en output B)
  1. De TAP kopieert het volledige verkeer zonder zelf gegevens te versturen of te beïnvloeden
  2. Monitoringtools zoals Wireshark, IDS of SIEM kunnen op de monitorpoorten worden aangesloten

TAP’s leveren lossless monitoring, ook bij hoge bandbreedte of fouten in het verkeer.

🏭 Toepassing van TAP in industriële netwerken

  • Permanente monitoring van kritieke communicatie tussen SCADA en PLC
  • Voeden van een IDS of SIEM zonder invloed op het productieproces
  • Auditing of forensisch onderzoek naar Modbus TCP, ProfiNET of OPC UA
  • Vergelijking van redundante communicatiekanalen bij gebruik van PRP of H-SR
  • Inspectie van low-level fouten (zoals CRC of jitter) bij storingen

TAP’s worden vaak gebruikt in zone 0–2 van het Purdue Model, waar betrouwbaarheid voorop staat.

🔍 TAP vs. SPAN

AspectTAP (Test Access Point)SPAN (Switched Port Analyzer)
TypeHardwareSwitch-gebaseerde softwarefunctie
Packet lossGeen – 100% kopieMogelijk bij hoge belasting of bugs
DuplexverkeerWordt gescheiden aangeboden (TX/RX)Wordt gecombineerd – soms risico op verlies
VertrouwenVolledig passief, storingsvrijAfhankelijk van switchcapaciteit
Gebruik in OTVoor permanente, forensische monitoringVoor ad-hoc analyse of flexibele configuratie

🔐 Beveiligingsaspecten

  • TAP’s zijn read-only: ze kunnen het netwerkverkeer niet verstoren
  • Toch moeten de monitorpoorten fysiek worden beveiligd (slechts vertrouwde apparaten)
  • Combineer TAP met versleutelde logging naar SIEM of Syslog
  • Sluit de monitoringtool aan op een apart segment of VLAN
  • Gebruik TAP’s alleen met betrouwbare, geverifieerde meetapparatuur

TAP’s bieden maximale zichtbaarheid zonder enige impact op het OT-verkeer, mits goed geïmplementeerd.

📌 Samengevat

Een TAP is een hardwarematige oplossing voor netwerkverkeer-Monitoring, ontworpen voor situaties waar betrouwbaarheid, veiligheid en transparantie cruciaal zijn. In industriële omgevingen is een TAP dé standaard voor permanente Monitoring in kritieke Zone.

Grafiekweergave

Backlinks