Übersicht über die Datenverkehrsspiegelung
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird, und bietet eine Übersicht über die Verfahren zum Konfigurieren der Datenverkehrsspiegelung in Ihrem Netzwerk.
Voraussetzungen
Bevor Sie die Datenverkehrsspiegelung konfigurieren, stellen Sie sicher, dass Sie Ihre Sensorpositionen und die Datenverkehrsspiegelungsmethode festgelegt haben.
Sensorposition
Identifizieren Sie den besten Ort, um den Sensor im Netzwerk zu platzieren, um den Netzwerkdatenverkehr zu überwachen und den bestmöglichen Ermittlungs- und Sicherheitswert bereitzustellen. Der Standort sollte dem Sensor Zugriff auf die folgenden drei wichtigen Arten von Netzwerkdatenverkehr gewähren:
| Typ | Beschreibung |
|---|---|
| Layer 2 (L2)-Datenverkehr | L2-Datenverkehr, der Protokolle wie ARP und DHCP enthält, ist ein wichtiger Indikator für die Platzierung des Sensors. Der Zugriff auf L2-Datenverkehr bedeutet auch, dass der Sensor präzise und wertvolle Daten über die Geräte des Netzwerks sammeln kann. Wenn ein Sensor richtig positioniert ist, erfasst er die MAC-Adressen von Geräten korrekt. Diese wichtigen Informationen bieten Anbieterindikatoren, welche die Fähigkeit des Sensors zur Klassifizierung von Geräten verbessern. |
| OT-Protokolle | OT-Protokolle sind für das Extrahieren detaillierter Informationen zu Geräten innerhalb des Netzwerks unerlässlich. Diese Protokolle stellen wichtige Daten bereit, die zu einer genauen Geräteklassifizierung führen. Durch die Analyse des OT-Protokolldatenverkehrs kann der Sensor umfassende Details zu jedem Gerät sammeln, z. B. das Modell, die Firmwareversion und andere relevante Merkmale. Diese Detailtiefe ist erforderlich, um ein genaues und aktuelles Inventar aller Geräte aufrechtzuerhalten, was für die Netzwerkverwaltung und -sicherheit von entscheidender Bedeutung ist. |
| Innere Subnetzkommunikation | OT-Netzwerke kommunizieren innerhalb eines Subnetzes, und die Informationen in der inneren Subnetzkommunikation sorgen für die Qualität der von den Sensoren gesammelten Daten. Sensoren werden dort platziert, wo sie Zugriff auf die innere Subnetzkommunikation haben, um Geräteinteraktionen zu überwachen, die häufig kritische Daten enthalten. Durch die Erfassung dieser Datenpakete erstellen die Sensoren ein detailliertes und genaues Bild des Netzwerks. |
Weitere Informationen finden Sie unter Platzieren von OT-Sensoren in Ihrem Netzwerk.
Methoden zur Datenverkehrsspiegelung
Es gibt drei Arten von Datenverkehrsspiegelungsmethoden, die jeweils für bestimmte Verwendungsszenarien entwickelt wurden. Wählen Sie die beste Methode basierend auf der Nutzung und Größe Ihres Netzwerks aus.
| Spiegelungstyp | Switched Port Analyzer (SPAN) | Remote SPAN (RSPAN) | Encapsulated Remote SPAN (ERSPAN) |
|---|---|---|---|
| Verwendungsszenario | Ideal für die Überwachung und Analyse des Datenverkehrs innerhalb eines einzelnen Switchs oder eines kleinen Netzwerksegments. | Geeignet für größere Netzwerke oder Szenarien, in denen Datenverkehr in verschiedenen Netzwerksegmenten überwacht werden muss. | Ideal für die Überwachung des Datenverkehrs über verschiedene oder geografisch verteilte Netzwerke, einschließlich Remotestandorten. |
| Beschreibung | SPAN ist eine Technik zur lokalen Datenverkehrsspiegelung, die in einem einzelnen Switch oder einem Switchstapel verwendet wird. Sie ermöglicht Netzwerkadministratoren das Duplizieren des Datenverkehrs von angegebenen Quellports oder VLANs zu einem Zielport, an dem das Überwachungsgerät, z. B. ein Netzwerksensor oder ein Analysegerät, verbunden ist. | RSPAN erweitert die Funktionen von SPAN, indem der Datenverkehr über mehrere Switches gespiegelt werden kann. Es wurde für Umgebungen entwickelt, in denen die Überwachung über verschiedene Schalter oder Switchstapel erfolgen muss. | ERSPAN übernimmt RSPAN einen Schritt weiter, indem gespiegelter Datenverkehr in Generic Routing Encapsulation (GRE)-Paketen gekapselt wird. Diese Methode ermöglicht die Datenverkehrsspiegelung über verschiedene Netzwerksegmente oder sogar über das Internet hinweg. |
| Einrichten der Spiegelung | - Quellports/VLANs: Konfigurieren Sie den Switch so, dass der Datenverkehr von ausgewählten Ports oder VLANs gespiegelt wird. - Zielport: Der gespiegelte Datenverkehr wird an einen bestimmten Port auf demselben Switch gesendet. Dieser Port ist mit Ihrem Überwachungsgerät verbunden. |
- Quellports/VLANs: Der Datenverkehr wird von angegebenen Quellports oder VLANs auf einem Quellswitch gespiegelt. - RSPAN VLAN: Der gespiegelte Datenverkehr wird an ein spezielles RSPAN VLAN gesendet, das mehrere Switches umfasst. - Zielport: Der Datenverkehr wird dann an einem bestimmten Port aus diesem RSPAN-VLAN auf einen Remoteswitch extrahiert, mit dem das Überwachungsgerät verbunden ist. |
- Quellports/VLANs: Ähnlich wie SPAN und RSPAN wird der Datenverkehr von angegebenen Quellports oder VLANs gespiegelt. - Kapselung: Der gespiegelte Datenverkehr wird in GRE-Paketen gekapselt, die dann über IP-Netzwerke weitergeleitet werden können. - Zielport: Der gekapselte Datenverkehr wird an ein Überwachungsgerät gesendet, das mit einem Zielport verbunden ist, an dem die GRE-Pakete entkapselt und analysiert werden. |
| Vorteile | - Einfachheit: Einfach zu konfigurieren und zu verwalten. - Niedrige Latenz: Da er auf einen einzelnen Switch beschränkt ist, ergeben sich minimale Verzögerungen. |
- Erweiterte Abdeckung: Ermöglicht die Überwachung über mehrere Switches hinweg. - Flexibilität: Kann verwendet werden, um den Datenverkehr aus verschiedenen Teilen des Netzwerks zu überwachen. |
- Breite Abdeckung: Ermöglicht die Überwachung über verschiedene IP-Netzwerke und Standorte hinweg. - Flexibilität: Kann in Szenarien verwendet werden, in denen Datenverkehr über weite Entfernungen hinweg oder über komplexe Netzwerkpfade überwacht werden muss. |
| Einschränkungen | - Lokaler Bereich: Beschränkt auf die Überwachung innerhalb desselben Switches, was für größere Netzwerke möglicherweise nicht ausreicht. | - Netzwerklast: Erhöht potenziell die Auslastung des Netzwerks aufgrund des RSPAN VLAN-Datenverkehrs. |
Berücksichtigen Sie beim Auswählen einer Spiegelungsmethode auch die folgenden Faktoren:
| Faktoren | Beschreibung |
|---|---|
| Netzwerkgröße und -layout | - SPAN eignet sich für die lokale Überwachung. - RSPAN für größere Umgebungen mit mehreren Switches - ERSPAN für geografisch verteilte oder komplexe Netzwerke. |
| Datenverkehrsvolumen | Stellen Sie sicher, dass die ausgewählte Methode das Datenverkehrsvolumen verarbeiten kann, ohne dass erhebliche Wartezeiten oder Netzwerklasten auftreten. |
| Überwachungsanforderungen | Ermitteln Sie, ob Datenverkehr lokal oder über verschiedene Netzwerksegmente erfasst wird, und wählen Sie die entsprechende Methode aus. |
Datenverkehrsspiegelungsprozesse
Verwenden Sie eines der folgenden Verfahren, um die Datenverkehrsspiegelung in Ihrem Netzwerk zu konfigurieren:
SPAN-Ports:
- Konfigurieren der Spiegelung mit einem Switch-SPAN-Port
- Konfigurieren der Datenverkehrsspiegelung mit einem RSPAN-Port (Remote SPAN)
- Aktualisieren der Überwachungsschnittstellen eines Sensors (Konfigurieren von ERSPAN)
Virtuelle Switches:
- Konfigurieren der Datenverkehrsspiegelung mit einem ESXi Switch
- Konfigurieren der Datenverkehrsspiegelung mit einem virtuellen Hyper-V-Switch
Defender for IoT unterstützt auch die Datenverkehrsspiegelung mit TAP-Konfigurationen. Weitere Informationen finden Sie unter Aktive oder passive Aggregation (TAP).