Configuración de la creación de reflejo de puertos
Se aplica a: Advanced Threat Analytics versión 1.9
Nota:
Este artículo solo es relevante si implementa puertas de enlace de ATA en lugar de puertas de enlace ligeras de ATA. Para determinar si necesita usar puertas de enlace de ATA, consulte Elección de las puertas de enlace adecuadas para la implementación.
El origen de datos principal que usa ATA es la inspección profunda de paquetes del tráfico de red hacia y desde los controladores de dominio. Para que ATA vea el tráfico de red, debe configurar la creación de reflejo del puerto o usar un TAP de red.
Para la creación de reflejo de puertos, configure la creación de reflejo de puertos para cada controlador de dominio que se va a supervisar, como origen del tráfico de red. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto. Para obtener más información, consulte la documentación del proveedor.
Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales. A continuación se muestran métodos comunes para la creación de reflejo de puertos y algunas consideraciones. Para obtener más información, consulte la documentación del producto del servidor de conmutación o virtualización. El fabricante del conmutador podría usar una terminología diferente.
Switched Port Analyzer (SPAN): copia el tráfico de red de uno o varios puertos de conmutador a otro puerto de conmutador en el mismo conmutador. Tanto la puerta de enlace de ATA como los controladores de dominio deben estar conectados al mismo conmutador físico.
Analizador de puertos de conmutador remoto (RSPAN): permite supervisar el tráfico de red desde puertos de origen distribuidos a través de varios conmutadores físicos. RSPAN copia el tráfico de origen en una VLAN especial configurada por RSPAN. Esta VLAN debe ser troncal a los otros switches implicados. RSPAN funciona en la capa 2.
Analizador de puertos de conmutador remoto encapsulado (ERSPAN): es una tecnología propietaria de Cisco que trabaja en la capa 3. ERSPAN le permite supervisar el tráfico entre switches sin necesidad de troncos VLAN. ERSPAN usa la encapsulación de enrutamiento genérico (GRE) para copiar el tráfico de red supervisado. Actualmente, ATA no puede recibir directamente el tráfico de ERSPAN. Para que ATA trabaje con el tráfico ERSPAN, un switch o enrutador que pueda decapsular el tráfico debe configurarse como destino de ERSPAN donde se decapsula el tráfico. A continuación, configure el conmutador o enrutador para reenviar el tráfico decapsulado a la puerta de enlace de ATA mediante SPAN o RSPAN.
Nota:
Si el controlador de dominio que se refleja en el puerto está conectado a través de un vínculo WAN, asegúrese de que el vínculo WAN puede controlar la carga adicional del tráfico ERSPAN. ATA solo admite la supervisión del tráfico cuando el tráfico llega a la NIC y al controlador de dominio de la misma manera. ATA no admite la supervisión del tráfico cuando el tráfico se divide en puertos diferentes.
Opciones de creación de reflejo de puerto admitidas
| Puerta de enlace de ATA | Controlador de dominio | Consideraciones |
|---|---|---|
| Virtual | Virtual en el mismo host | El conmutador virtual debe admitir la creación de reflejo de puertos. Mover una de las máquinas virtuales a otro host por sí mismo puede interrumpir la creación de reflejo del puerto. |
| Virtual | Virtual en hosts diferentes | Asegúrese de que el conmutador virtual admite este escenario. |
| Virtual | Físico | Requiere un adaptador de red dedicado; de lo contrario, ATA ve todo el tráfico que entra y sale del host, incluso el tráfico que envía al Centro ATA. |
| Físico | Virtual | Asegúrese de que el conmutador virtual admite este escenario y la configuración de creación de reflejo de puertos en los conmutadores físicos en función del escenario: Si el host virtual está en el mismo conmutador físico, debe configurar un intervalo de nivel de conmutador. Si el host virtual está en un conmutador diferente, debe configurar RSPAN o ERSPAN*. |
| Físico | Físico en el mismo conmutador | El conmutador físico debe admitir span/port mirroring. |
| Físico | Físico en un conmutador diferente | Requiere conmutadores físicos para admitir RSPAN o ERSPAN*. |
* ERSPAN solo se admite cuando se realiza la decapsulación antes de que ATA analice el tráfico.
Nota:
Asegúrese de que los controladores de dominio y las puertas de enlace de ATA a las que se conectan tienen tiempo sincronizado entre sí en un plazo de cinco minutos.
Si está trabajando con clústeres de virtualización:
- Para cada controlador de dominio que se ejecuta en el clúster de virtualización de una máquina virtual con la puerta de enlace de ATA, configure la afinidad entre el controlador de dominio y la puerta de enlace de ATA. De este modo, cuando el controlador de dominio se mueve a otro host del clúster, la puerta de enlace de ATA lo sigue. Esto funciona bien cuando hay algunos controladores de dominio.
Nota:
Si el entorno admite virtual a virtual en hosts diferentes (RSPAN), no es necesario preocuparse por la afinidad.
- Para asegurarse de que las puertas de enlace de ATA tienen el tamaño adecuado para controlar la supervisión de todos los controladores de dominio por sí mismos, pruebe esta opción: Instale una máquina virtual en cada host de virtualización e instale una puerta de enlace de ATA en cada host. Configure cada puerta de enlace de ATA para supervisar todos los controladores de dominio que se ejecutan en el clúster. De este modo, se supervisa cualquier host en el que se ejecuten los controladores de dominio.
Después de configurar la creación de reflejo del puerto, compruebe que la creación de reflejo del puerto funciona antes de instalar la puerta de enlace de ATA.