Configurare il mirroring delle porte
Si applica a: Advanced Threat Analytics versione 1.9
Nota
Questo articolo è pertinente solo se si distribuiscono gateway ATA anziché gateway ATA Lightweight. Per determinare se è necessario usare i gateway ATA, vedere Scelta dei gateway appropriati per la distribuzione.
L'origine dati principale usata da ATA è l'ispezione approfondita dei pacchetti del traffico di rete da e verso i controller di dominio. Per consentire ad ATA di visualizzare il traffico di rete, è necessario configurare il mirroring delle porte o usare un TAP di rete.
Per il mirroring delle porte, configurare il mirroring delle porte per ogni controller di dominio da monitorare, come origine del traffico di rete. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte. Per altre informazioni, vedere la documentazione del fornitore.
I controller di dominio e i gateway ATA possono essere fisici o virtuali. Di seguito sono riportati i metodi comuni per il mirroring delle porte e alcune considerazioni. Per altre informazioni, vedere la documentazione del prodotto switch o server di virtualizzazione. Il produttore del commutatore potrebbe usare una terminologia diversa.
Switch Port Analyzer (SPAN): copia il traffico di rete da una o più porte switch a un'altra porta del commutatore sullo stesso commutatore. Sia il gateway ATA che i controller di dominio devono essere connessi allo stesso commutatore fisico.
Remote Switch Port Analyzer (RSPAN): consente di monitorare il traffico di rete dalle porte di origine distribuite su più commutatori fisici. RSPAN copia il traffico di origine in una VLAN speciale configurata per RSPAN. È necessario eseguire il trunking di questa VLAN agli altri commutatori coinvolti. RSPAN funziona al livello 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN): è una tecnologia proprietaria di Cisco che funziona al livello 3. ERSPAN consente di monitorare il traffico tra commutatori senza la necessità di trunk VLAN. ERSPAN usa l'incapsulamento di routing generico (GRE) per copiare il traffico di rete monitorato. ATA attualmente non può ricevere direttamente il traffico ERSPAN. Affinché ATA funzioni con il traffico ERSPAN, è necessario configurare un commutatore o un router in grado di decapulare il traffico come destinazione di ERSPAN in cui il traffico viene decapsolato. Configurare quindi il commutatore o il router per inoltrare il traffico decapsulato al gateway ATA usando SPAN o RSPAN.
Nota
Se il controller di dominio con mirroring della porta è connesso tramite un collegamento WAN, assicurarsi che il collegamento WAN possa gestire il carico aggiuntivo del traffico ERSPAN. ATA supporta il monitoraggio del traffico solo quando il traffico raggiunge la scheda di interfaccia di rete e il controller di dominio nello stesso modo. ATA non supporta il monitoraggio del traffico quando il traffico viene suddiviso in porte diverse.
Opzioni di mirroring delle porte supportate
| ATA Gateway | Controller di dominio | Considerazioni |
|---|---|---|
| Virtuale | Virtuale nello stesso host | Il commutatore virtuale deve supportare il mirroring delle porte. Lo spostamento di una delle macchine virtuali in un altro host può interrompere il mirroring delle porte. |
| Virtuale | Virtuale in host diversi | Assicurarsi che il commutatore virtuale supporti questo scenario. |
| Virtuale | Fisico | Richiede una scheda di rete dedicata altrimenti ATA visualizza tutto il traffico in ingresso e in uscita dall'host, anche il traffico inviato al Centro ATA. |
| Fisico | Virtuale | Assicurarsi che il commutatore virtuale supporti questo scenario e la configurazione del mirroring delle porte nei commutatori fisici in base allo scenario: Se l'host virtuale si trova nello stesso commutatore fisico, è necessario configurare un intervallo di livello del commutatore. Se l'host virtuale si trova su un commutatore diverso, è necessario configurare RSPAN o ERSPAN*. |
| Fisico | Fisico sullo stesso commutatore | L'opzione fisica deve supportare span/port mirroring. |
| Fisico | Fisico su un commutatore diverso | Richiede commutatori fisici per supportare RSPAN o ERSPAN*. |
* ERSPAN è supportato solo quando viene eseguita la decapsulation prima che il traffico venga analizzato da ATA.
Nota
Assicurarsi che i controller di dominio e i gateway ATA a cui si connettono abbiano tempo sincronizzato entro cinque minuti l'uno dall'altro.
Se si usano cluster di virtualizzazione:
- Per ogni controller di dominio in esecuzione nel cluster di virtualizzazione in una macchina virtuale con il gateway ATA, configurare l'affinità tra il controller di dominio e il gateway ATA. In questo modo, quando il controller di dominio si sposta in un altro host nel cluster, il gateway ATA lo segue. Questo funziona bene quando sono presenti alcuni controller di dominio.
Nota
Se l'ambiente supporta da virtuale a virtuale in host diversi (RSPAN), non è necessario preoccuparsi dell'affinità.
- Per assicurarsi che le dimensioni dei gateway ATA siano corrette per gestire autonomamente il monitoraggio di tutti i controller di dominio, provare questa opzione: Installare una macchina virtuale in ogni host di virtualizzazione e installare un gateway ATA in ogni host. Configurare ogni gateway ATA per monitorare tutti i controller di dominio eseguiti nel cluster. In questo modo, viene monitorato qualsiasi host in cui vengono eseguiti i controller di dominio.
Dopo aver configurato il mirroring delle porte, verificare che il mirroring delle porte funzioni prima di installare il gateway ATA.