Volba metody zrcadlení provozu pro senzory OT
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje podporované metody zrcadlení provozu pro monitorování OT pomocí Microsoft Defenderu pro IoT.
Rozhodnutí o tom, jakou metodu zrcadlení provozu použít, závisí na konfiguraci sítě a potřebách vaší organizace.
Abyste zajistili, že Defender for IoT analyzuje jenom provoz, který chcete monitorovat, doporučujeme nakonfigurovat zrcadlení provozu na přepínači nebo v přístupovém bodu terminálu (TAP), který zahrnuje pouze průmyslové přenosy ICS a SCADA.
Poznámka:
SPAN a RSPAN jsou terminologie Cisco. Jiné značky přepínačů mají podobné funkce, ale mohou používat jinou terminologii.
Doporučení pro zrcadlení rozsahu portů
Doporučujeme nakonfigurovat zrcadlení přenosů ze všech portů přepínače, i když k nim nejsou připojena žádná data. Pokud ne, můžou být později nemonitorovaná zařízení připojena k nesledovaným portům a tato zařízení nebudou rozpoznána síťovými senzory Defenderu for IoT.
Pro sítě OT, které používají vysílání nebo vícesměrové zasílání zpráv, nakonfigurujte zrcadlení provozu pouze pro přenosy RX (Příjem). Zprávy vícesměrového vysílání se budou opakovat pro všechny relevantní aktivní porty a zbytečně budete používat větší šířku pásma.
Porovnání podporovaných metod zrcadlení provozu
Defender pro IoT podporuje následující metody:
| metoda | Popis | Další informace |
|---|---|---|
| Port SPAN přepínače | Zrcadlí místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači. | Konfigurace zrcadlení pomocí portu SPAN přepínače |
| Port REMOTE SPAN (RSPAN) | Zrcadlí provoz z několika distribuovaných zdrojových portů do vyhrazené vzdálené sítě VLAN. | Porty REMOTE SPAN (RSPAN) Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN) |
| Aktivní nebo pasivní agregace (TAP) | Nainstaluje aktivní /pasivní agregaci TAP vloženou do síťového kabelu, který duplikuje provoz do síťového senzoru OT. Nejlepší metoda pro forenzní monitorování | Aktivní nebo pasivní agregace (TAP) |
| Zapouzdřený analyzátor portů se vzdáleným přepínačem (ERSPAN) | Zrcadlí vstupní rozhraní do monitorovacího rozhraní senzoru OT. | Porty ERSPAN Aktualizace monitorovacích rozhraní senzoru (konfigurace ERSPAN) |
| Přepínač ESXi vSwitch | Zrcadlí provoz pomocí režimu Promiscuous na přepínači ESXi vSwitch. | Zrcadlení provozu pomocí virtuálních přepínačů Nakonfigurujte zrcadlení provozu pomocí přepínače ESXi vSwitch. |
| Přepínač hyper-V | Zrcadlí provoz pomocí režimu Promiscuous na přepínači Hyper-V. | Zrcadlení provozu pomocí virtuálních přepínačů Konfigurace zrcadlení provozu pomocí přepínače Hyper-V |
Porty REMOTE SPAN (RSPAN)
Nakonfigurujte vzdálenou relaci SPAN (RSPAN) na přepínači tak, aby zrcadlil provoz z více distribuovaných zdrojových portů do vyhrazené vzdálené sítě VLAN.
Data v síti VLAN se pak doručují přes kmenové porty napříč několika přepínači na zadaný přepínač, který obsahuje fyzický cílový port. Připojte cílový port k síťovému senzoru OT a monitorujte provoz pomocí Defenderu pro IoT.
Následující diagram znázorňuje příklad vzdálené architektury sítě VLAN:
Další informace najdete v tématu Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN).
Aktivní nebo pasivní agregace (TAP)
Při použití aktivní nebo pasivní agregace pro zrcadlení provozu se na síťovém kabelu nainstaluje přístupový bod aktivního nebo pasivního terminálu agregace (TAP). TAP duplikuje přenosy do síťového senzoru OT, abyste mohli monitorovat provoz pomocí Defenderu pro IoT.
TAP je hardwarové zařízení, které umožňuje síťový provoz přetékat mezi porty a zpět bez přerušení. TAP vytvoří přesnou kopii obou stran toku provozu, a to nepřetržitě bez ohrožení integrity sítě.
Příklad:
Některé protokoly TAP agregují příjem i přenos v závislosti na konfiguraci přepínače. Pokud přepínač nepodporuje agregaci, každý TAP používá dva porty na síťovém senzoru OT k monitorování provozu příjmu i přenosu .
Výhody zrcadlení provozu pomocí TAP
Doporučujeme postupovat zejména v případě zrcadlení provozu pro forenzní účely. Mezi výhody zrcadlení provozu s TAP patří:
Technické adaptéry jsou založené na hardwaru a není možné je ohrozit.
Technické poradce projde veškerý provoz, dokonce i poškozené zprávy, které přepínače často zahodí.
TaP nejsou citlivé na procesor, což znamená, že načasování paketů je přesné. Přepínače naopak zpracovávají funkce zrcadlení jako úlohu s nízkou prioritou, což může ovlivnit načasování zrcadlených paketů.
K monitorování portů provozu můžete použít také agregátor TAP. Agregátory TAP ale nejsou založené na procesoru a nejsou tak zabezpečené jako hardwarové technické poradce. Agregátory TAP nemusí odrážet přesné načasování paketů.
Běžné modely TAP
Následující modely TAP byly testovány na kompatibilitu s defenderem pro IoT. Můžou být kompatibilní i ostatní dodavatelé a modely.
Garland P1GCCAS
Při použití Garland TAP nezapomeňte nastavit síť tak, aby podporovala agregaci. Další informace najdete v diagramu Agregace klepnutím na kartě Síťové diagramy v průvodci instalací Garlandu.
IXIA TPA2-CU3
Při použití Ixia TAP se ujistěte, že je aktivní režim agregace. Další informace naleznete v průvodci instalací Ixia.
US Robotics USR 4503
Pokud používáte US Robotics TAP, nezapomeňte přepnout režim agregace tak, že nastavíte přepínač pro výběr na AGG. Další informace najdete v průvodci instalací US Robotics.
Porty ERSPAN
Pomocí zapouzdřeného analyzátoru portů se vzdáleným přepínačem (ERSPAN) můžete zrcadlit vstupní rozhraní přes síť IP do monitorovacího rozhraní senzoru OT při zabezpečení vzdálených sítí pomocí Defenderu pro IoT.
Monitorovací rozhraní senzoru je promiskuózní rozhraní a nemá speciálně přidělenou IP adresu. Pokud je nakonfigurovaná podpora ERSPAN, budou datové části provozu zapouzdřené zapouzdřením tunelu GRE analyzovány senzorem.
Pokud potřebujete rozšířit monitorovaný provoz napříč doménami vrstvy 3, použijte zapouzdření ERSPAN. ERSPAN je proprietární funkce Cisco a je k dispozici pouze na konkrétních směrovačích a přepínačích. Další informace najdete v dokumentaci cisco.
Poznámka:
Tento článek obsahuje základní pokyny pro konfiguraci zrcadlení provozu pomocí ERSPAN. Konkrétní podrobnosti implementace se budou lišit v závislosti na dodavateli vašeho zařízení.
Architektura ERSPAN
Relace ERSPAN zahrnují zdrojovou relaci a cílovou relaci nakonfigurovanou na různých přepínačích. Mezi zdrojovými a cílovými přepínači je provoz zapouzdřen v gre a lze je směrovat přes sítě vrstvy 3.
Příklad:
ERSPAN přenáší zrcadlený provoz přes síť IP pomocí následujícího procesu:
- Zdrojový směrovač zapouzdřuje provoz a odesílá paket přes síť.
- V cílovém směrovači se paket odsadí a odešle do cílového rozhraní.
Mezi možnosti zdroje ERSPAN patří například:
- Ethernetové porty a kanály portů
- sítě VLAN; všechna podporovaná rozhraní v síti VLAN jsou zdroje ERSPAN.
- Kanály portů prostředků infrastruktury
- Satelitní porty a kanály portů hostitelského rozhraní
Další informace najdete v tématu Aktualizace monitorovacích rozhraní senzoru (konfigurace ERSPAN).
Zrcadlení provozu pomocí virtuálních přepínačů
I když virtuální přepínač nemá možnosti zrcadlení, můžete použít režim Promiscuous v prostředí virtuálního přepínače jako alternativní řešení pro konfiguraci monitorovacího portu, podobně jako port SPAN. Port SPAN na přepínači zrcadlí místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači.
Připojte cílový přepínač k síťovému senzoru OT a monitorujte provoz pomocí Defenderu pro IoT.
Režim promiscuous je režim provozu a technika zabezpečení, monitorování a správy definovaná na úrovni virtuálního přepínače nebo skupiny portů. Při použití promiskuitního režimu může jakékoli síťové rozhraní virtuálního počítače ve stejné skupině portů zobrazit veškerý síťový provoz procházející tímto virtuálním přepínačem. Ve výchozím nastavení je promiskuózní režim vypnutý.
Další informace naleznete v tématu:
- Konfigurace zrcadlení provozu pomocí přepínače ESXi vSwitch
- Konfigurace zrcadlení provozu pomocí přepínače Hyper-V