Introducción a la creación de reflejo del tráfico
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT y ofrece información general de los procedimientos para configurar la creación de reflejo del tráfico en la red.
Requisitos previos
Antes de configurar la creación de reflejo del tráfico, asegúrese de que ha decidido la ubicación de los sensores y el método de creación de reflejo del tráfico.
Ubicación del sensor
Identifique la mejor ubicación para colocar el sensor en la red, para supervisar el tráfico de red y proporcionar el mejor valor de detección y seguridad posible. La ubicación debe proporcionar al sensor acceso a los tres tipos importantes de tráfico de red siguientes:
Tipo | Descripción |
---|---|
Tráfico de nivel 2 (L2) | El tráfico L2, que incluye protocolos como ARP y DHCP, es un indicador crítico de la colocación del sensor. Acceder al tráfico L2 también significa que el sensor puede recopilar datos precisos y valiosos sobre los dispositivos de la red. Cuando un sensor está correctamente colocado, captura con precisión las direcciones MAC de los dispositivos. Esta información vital proporciona indicadores de proveedor, lo que mejora la capacidad del sensor para clasificar los dispositivos. |
Protocolos OT | Los protocolos OT son esenciales para extraer información detallada sobre los dispositivos dentro de la red. Estos protocolos proporcionan datos cruciales que conducen a una clasificación precisa de dispositivos. Al analizar el tráfico del protocolo OT, el sensor puede recopilar detalles completos sobre cada dispositivo, como su modelo, versión de firmware y otras características relevantes. Este nivel de detalle es necesario para mantener un inventario preciso y actualizado de todos los dispositivos, que es fundamental para la administración y la seguridad de la red. |
Comunicación de subred interna | Los dispositivos de redes de OT se comunican dentro de una subred y la información que se encuentra dentro de la comunicación interna de subred garantiza la calidad de los datos recopilados por los sensores. Los sensores se colocan donde tienen acceso a la comunicación de subred interna para supervisar las interacciones del dispositivo, que a menudo incluyen datos críticos. Al capturar estos paquetes de datos, los sensores crean una imagen detallada y precisa de la red. |
Para más información, consulte Colocación de sensores de OT en la red.
Métodos de creación de reflejo del tráfico
Hay tres tipos de métodos de creación de reflejo del tráfico diseñados para escenarios de uso específicos. Elija el mejor método en función del uso y el tamaño de la red.
Tipo de creación de reflejo | Analizador de puertos conmutados (SPAN) | SPAN remoto (RSPAN) | SPAN remoto encapsulado (ERSPAN) |
---|---|---|---|
Escenario de uso | Ideal para supervisar y analizar el tráfico dentro de un solo conmutador o un segmento de red pequeño. | Adecuado para redes o escenarios más grandes en los que es necesario supervisar el tráfico en distintos segmentos de red. | Ideal para supervisar el tráfico en redes diversas o dispersas geográficamente, incluidos los sitios remotos. |
Descripción | SPAN es una técnica de creación de reflejo del tráfico local que se usa dentro de un solo conmutador o una pila de conmutadores. Permite a los administradores de red duplicar el tráfico de puertos de origen o VLAN especificados a un puerto de destino en el que el dispositivo de supervisión, como un sensor de red o un analizador, está conectado. | RSPAN amplía las funcionalidades de SPAN al permitir que el tráfico se refleje en varios conmutadores. Está diseñado para entornos en los que la supervisión debe producirse en diferentes conmutadores o pilas de conmutadores. | ERSPAN toma RSPAN un paso más allá mediante la encapsulación del tráfico reflejado en paquetes de encapsulación de enrutamiento genérico (GRE). Este método permite la creación de reflejo del tráfico en distintos segmentos de red o incluso a través de Internet. |
Configuración de creación de reflejo | - Puertos de origen/VLAN: configure el conmutador para reflejar el tráfico desde puertos o VLAN seleccionados. - Puerto de destino: el tráfico reflejado se envía a un puerto designado en el mismo conmutador. Este puerto está conectado al dispositivo de supervisión. |
- Puertos de origen/VLAN: el tráfico se refleja a partir de puertos de origen o VLAN especificados en un conmutador de origen. - VLAN de RSPAN: el tráfico reflejado se envía a una VLAN de RSPAN especial que abarca varios conmutadores. - Puerto de destino: el tráfico se extrae de esta VLAN de RSPAN en un puerto designado en un conmutador remoto donde está conectado el dispositivo de supervisión. |
- Puertos de origen/VLAN: similar a SPAN y RSPAN, el tráfico se refleja a partir de puertos de origen o VLAN especificados. - Encapsulación: el tráfico reflejado se encapsula en paquetes GRE, que se pueden enrutar a través de redes IP. - Puerto de destino: el tráfico encapsulado se envía a un dispositivo de supervisión conectado a un puerto de destino donde los paquetes GRE se desencapsulan y analizan. |
Ventajas | - Simplicidad: fácil de configurar y administrar. - Baja latencia: dado que se limita a un solo conmutador, introduce un retraso mínimo. |
- Cobertura extendida: permite la supervisión en varios conmutadores. - Flexibilidad: se puede usar para supervisar el tráfico desde diferentes partes de la red. |
- Amplia cobertura: habilita la supervisión en diferentes redes IP y ubicaciones. - Flexibilidad: se puede usar en escenarios en los que es necesario supervisar el tráfico a través de largas distancias o a través de rutas de acceso de red complejas. |
Limitaciones | Ámbito local: limitado a la supervisión dentro del mismo conmutador, lo que podría no ser suficiente para redes más grandes. | Carga de red: puede aumentar la carga en la red debido al tráfico de VLAN de RSPAN. |
Al seleccionar un método de creación de reflejo, tenga en cuenta también los siguientes factores:
Factores | Descripción |
---|---|
Tamaño y diseño de la red | - SPAN es adecuado para la supervisión local. - RSPAN para entornos de conmutadores múltiples más grandes - ERSPAN para redes geográficamente dispersas o complejas. |
Volumen de tráfico | Asegúrese de que el método elegido puede controlar el volumen de tráfico sin introducir una latencia significativa ni una carga de red. |
Necesidades de supervisión | Determine si el tráfico se captura localmente o en distintos segmentos de red y elige el método adecuado. |
Procesos de creación de reflejo del tráfico
Use uno de los procedimientos siguientes para configurar la creación de reflejo del tráfico en la red:
Puertos SPAN:
- Configuración de la creación de reflejo con un puerto SPAN de conmutador
- Configuración de la creación de un reflejo del tráfico con un puerto SPAN remoto (RSPAN)
- Actualización de las interfaces de supervisión de un sensor (configurar ERSPAN)
Conmutadores virtuales:
- Configuración de la creación de reflejo del tráfico con un conmutador virtual de ESXi
- Configuración de la creación de reflejo de tráfico con un conmutador virtual de Hyper-V
Defender para IoT también admite la creación de reflejo del tráfico con configuraciones de TAP. Para obtener más información, vea Agregación activa o pasiva (TAP).