Přehled zrcadlení provozu
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a poskytuje přehled postupů pro konfiguraci zrcadlení provozu ve vaší síti.
Požadavky
Než nakonfigurujete zrcadlení provozu, ujistěte se, že jste se rozhodli pro umístění snímačů a metodu zrcadlení provozu.
Umístění senzoru
Určete nejlepší umístění pro umístění senzoru v síti, monitorování síťového provozu a zajištění nejlepší možné hodnoty zjišťování a zabezpečení. Umístění by mělo senzoru poskytnout přístup k následujícím třem důležitým typům síťového provozu:
| Typ | Popis |
|---|---|
| Provoz vrstvy 2 (L2) | Provoz L2, který zahrnuje protokoly, jako jsou ARP a DHCP, je kritickým indikátorem umístění senzoru. Přístup k provozu L2 také znamená, že senzor může shromažďovat přesná a cenná data o zařízeních sítě. Když je senzor správně umístěný, přesně zachytí adresy MAC zařízení. Tyto důležité informace poskytují indikátory dodavatele, které zlepšují schopnost senzoru klasifikovat zařízení. |
| Protokoly OT | Protokoly OT jsou nezbytné pro extrakci podrobných informací o zařízeních v síti. Tyto protokoly poskytují důležitá data, která vedou k přesné klasifikaci zařízení. Díky analýze provozu protokolu OT může senzor shromáždit komplexní podrobnosti o každém zařízení, jako je jeho model, verze firmwaru a další relevantní charakteristiky. Tato úroveň podrobností je nezbytná pro udržování přesného a aktuálního inventáře všech zařízení, což je zásadní pro správu a zabezpečení sítě. |
| Komunikace vnitřní podsítě | Síťová zařízení OT komunikují v podsíti a informace nalezené ve vnitřní podsíti zajišťují kvalitu dat shromážděných senzory. Senzory jsou umístěné tam, kde mají přístup ke komunikaci vnitřní podsítě, aby mohly monitorovat interakce zařízení, které často zahrnují důležitá data. Díky zachycení těchto datových paketů sestaví senzory podrobný a přesný obraz sítě. |
Další informace najdete v tématu umístění snímačů OT do sítě.
Metody zrcadlení provozu
Existují tři typy metod zrcadlení provozu, které jsou navržené pro konkrétní scénáře použití. Vyberte nejlepší metodu na základě využití a velikosti sítě.
| Typ zrcadlení | Switched Port Analyzer (SPAN) | Remote SPAN (RSPAN) | Zapouzdřené vzdálené span (ERSPAN) |
|---|---|---|---|
| Scénář použití | Ideální pro monitorování a analýzu provozu v rámci jednoho přepínače nebo malého segmentu sítě. | Vhodné pro větší sítě nebo scénáře, ve kterých je potřeba monitorovat provoz napříč různými segmenty sítě. | Ideální pro monitorování provozu přes různorodé nebo geograficky rozptýlené sítě, včetně vzdálených lokalit. |
| Popis | SPAN je technika zrcadlení místního provozu použitá v rámci jednoho přepínače nebo zásobníku přepínačů. Umožňuje správcům sítě duplikovat provoz ze zadaných zdrojových portů nebo sítí VLAN do cílového portu, kde je připojené monitorovací zařízení, jako je síťový senzor nebo analyzátor. | RSPAN rozšiřuje možnosti SPAN tím, že umožňuje zrcadlení provozu napříč několika přepínači. Je navržená pro prostředí, ve kterých se musí monitorování vyskytovat přes různé přepínače nebo zásobníky přepínačů. | Společnost ERSPAN provádí DÁL KROK zapouzdřením zrcadlených přenosů v paketech GRE (Generic Routing Encapsulation). Tato metoda umožňuje zrcadlení přenosů napříč různými síťovými segmenty nebo dokonce přes internet. |
| Nastavení zrcadlení | - Zdrojové porty nebo sítě VLAN: Nakonfigurujte přepínač na zrcadlení provozu z vybraných portů nebo sítí VLAN. - Cílový port: Zrcadlený provoz se odesílá do určeného portu na stejném přepínači. Tento port je připojený k vašemu monitorovacímu zařízení. |
- Zdrojové porty nebo sítě VLAN: Provoz se zrcadlí ze zadaných zdrojových portů nebo sítí VLAN ve zdrojovém přepínači. - RSPAN VLAN: Zrcadlený provoz se odesílá do speciální sítě RSPAN VLAN, která pokrývá více přepínačů. - Cílový port: Provoz se pak extrahuje z této sítě RSPAN VLAN na určeném portu na vzdáleném přepínači, kde je monitorovací zařízení připojené. |
- Zdrojové porty nebo sítě VLAN: Podobně jako SPAN a RSPAN se provoz zrcadlí ze zadaných zdrojových portů nebo sítí VLAN. - Zapouzdření: Zrcadlený provoz je zapouzdřen v paketech GRE, které je pak možné směrovat napříč sítěmi IP. - Cílový port: Zapouzdřený provoz se odesílá do monitorovacího zařízení připojeného k cílovému portu, kde jsou pakety GRE zapouzdřené a analyzované. |
| Benefity | - Jednoduchost: Snadná konfigurace a správa. - Nízká latence: Vzhledem k tomu, že je omezena na jeden přepínač, představuje minimální zpoždění. |
- Rozšířené pokrytí: Umožňuje monitorování napříč několika přepínači. - Flexibilita: Dá se použít k monitorování provozu z různých částí sítě. |
– Široké pokrytí: Umožňuje monitorování napříč různými sítěmi a umístěními IP adres. - Flexibilita: Je možné ji použít ve scénářích, kdy je potřeba monitorovat provoz přes dlouhé vzdálenosti nebo prostřednictvím složitých síťových cest. |
| Omezení | Místní rozsah: Omezeno na monitorování ve stejném přepínači, což nemusí stačit pro větší sítě. | Zatížení sítě: Potenciálně se zvyšuje zatížení sítě kvůli provozu SÍTĚ RSPAN VLAN. |
Při výběru metody zrcadlení zvažte také následující faktory:
| Faktory | Popis |
|---|---|
| Velikost a rozložení sítě | - SPAN je vhodný pro místní monitorování. - RSPAN pro větší prostředí s více přepínači - ERSPAN pro geograficky rozptýlené nebo složité sítě. |
| Objem provozu | Ujistěte se, že zvolená metoda dokáže zpracovat objem provozu bez významné latence nebo zatížení sítě. |
| Potřeby monitorování | Určete, jestli je provoz zachycen místně nebo napříč různými síťovými segmenty, a zvolte příslušnou metodu. |
Procesy zrcadlení provozu
Pomocí jednoho z následujících postupů nakonfigurujte zrcadlení provozu ve vaší síti:
Porty SPAN:
- Konfigurace zrcadlení pomocí portu SPAN přepínače
- Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN)
- Aktualizace monitorovacích rozhraní snímače (konfigurace ERSPAN)
Virtuální přepínače:
- Konfigurace zrcadlení provozu pomocí přepínače ESXi vSwitch
- Konfigurace zrcadlení provozu pomocí přepínače Hyper-V
Defender pro IoT také podporuje zrcadlení provozu s konfigurací TAP. Další informace najdete v tématu Aktivní nebo pasivní agregace (TAP).