Overzicht van verkeersspiegeling
Dit artikel is een in een reeks artikelen met een beschrijving van het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT en biedt een overzicht van de procedures voor het configureren van verkeerspiegeling in uw netwerk.
Vereisten
Voordat u verkeerspiegeling configureert, moet u ervoor zorgen dat u de sensorlocaties en de methode voor verkeersspiegeling hebt gekozen.
Sensorlocatie
Identificeer de beste locatie om de sensor in het netwerk te plaatsen, om het netwerkverkeer te bewaken en de beste detectie- en beveiligingswaarde te bieden. De locatie moet de sensor toegang geven tot de volgende drie belangrijke typen netwerkverkeer:
| Type | Description |
|---|---|
| Laag 2 (L2) verkeer | L2-verkeer, dat protocollen zoals ARP en DHCP bevat, is een kritieke indicator van de plaatsing van de sensor. Het openen van L2-verkeer betekent ook dat de sensor nauwkeurige en waardevolle gegevens over de apparaten van het netwerk kan verzamelen. Wanneer een sensor correct is ingesteld, worden de MAC-adressen van apparaten nauwkeurig vastgelegd. Deze essentiële informatie biedt leveranciersindicatoren, die het vermogen van de sensor om apparaten te classificeren verbetert. |
| OT-protocollen | OT-protocollen zijn essentieel voor het extraheren van gedetailleerde informatie over apparaten binnen het netwerk. Deze protocollen bieden cruciale gegevens die leiden tot nauwkeurige apparaatclassificatie. Door OT-protocolverkeer te analyseren, kan de sensor uitgebreide informatie verzamelen over elk apparaat, zoals het model, de firmwareversie en andere relevante kenmerken. Dit detailniveau is nodig voor het onderhouden van een nauwkeurige en up-to-date inventarisatie van alle apparaten, wat cruciaal is voor netwerkbeheer en beveiliging. |
| Interne subnetcommunicatie | OT-netwerken communiceren binnen een subnet en de informatie in de binnenste subnetcommunicatie zorgt voor de kwaliteit van de gegevens die door de sensoren worden verzameld. Sensoren worden geplaatst waar ze toegang hebben tot de communicatie van het binnenste subnet om apparaatinteracties te bewaken, waaronder vaak kritieke gegevens. Door deze gegevenspakketten vast te leggen, bouwen de sensoren een gedetailleerd en nauwkeurig beeld van het netwerk. |
Zie HET plaatsen van OT-sensoren in uw netwerk voor meer informatie.
Methoden voor verkeerspiegeling
Er zijn drie typen verkeersspiegelingsmethoden die elk zijn ontworpen voor specifieke gebruiksscenario's. Kies de beste methode op basis van het gebruik en de grootte van uw netwerk.
| Type spiegeling | Switched Port Analyzer (SPAN) | Externe SPAN (RSPAN) | Ingekapseld Remote SPAN (ERSPAN) |
|---|---|---|---|
| Gebruiksscenario | Ideaal voor het bewaken en analyseren van verkeer binnen één switch of een klein netwerksegment. | Geschikt voor grotere netwerken of scenario's waarbij verkeer moet worden bewaakt in verschillende netwerksegmenten. | Ideaal voor het bewaken van verkeer via diverse of geografisch verspreide netwerken, waaronder externe sites. |
| Beschrijving | SPAN is een lokale verkeersspiegelingstechniek die wordt gebruikt binnen één switch of een switchstack. Hiermee kunnen netwerkbeheerders verkeer dupliceren van opgegeven bronpoorten of VLAN's naar een doelpoort waar het bewakingsapparaat, zoals een netwerksensor of analyse, is verbonden. | RSPAN breidt de mogelijkheden van SPAN uit doordat verkeer kan worden gespiegeld over meerdere switches. Het is ontworpen voor omgevingen waar bewaking moet plaatsvinden via verschillende switches of switchstacks. | ERSPAN neemt RSPAN een stap verder door gespiegeld verkeer in GRE-pakketten (Generic Routing Encapsulation) in te kapselen. Met deze methode kunt u verkeer spiegelen in verschillende netwerksegmenten of zelfs via internet. |
| Spiegeling ingesteld |
-
Bronpoorten/VLAN's: configureer de switch naar gespiegeld verkeer van geselecteerde poorten of VLAN's. - Doelpoort: het gespiegelde verkeer wordt verzonden naar een aangewezen poort op dezelfde switch. Deze poort is verbonden met uw bewakingsapparaat. |
-
Bronpoorten/VLAN's: verkeer wordt gespiegeld van opgegeven bronpoorten of VLAN's op een bronswitch. - RSPAN VLAN: Het gespiegelde verkeer wordt verzonden naar een speciaal RSPAN VLAN dat meerdere switches omvat. - Doelpoort: Het verkeer wordt vervolgens geëxtraheerd uit dit RSPAN VLAN op een aangewezen poort op een externe switch waar het bewakingsapparaat is verbonden. |
-
Bronpoorten/VLAN's: vergelijkbaar met SPAN en RSPAN, wordt verkeer gespiegeld van opgegeven bronpoorten of VLAN's. - Inkapseling: het gespiegelde verkeer wordt ingekapseld in GRE-pakketten, die vervolgens kunnen worden gerouteerd via IP-netwerken. - Doelpoort: het ingekapselde verkeer wordt verzonden naar een bewakingsapparaat dat is verbonden met een doelpoort waar de GRE-pakketten worden ontkapseld en geanalyseerd. |
| Voordelen | - Eenvoud: eenvoudig te configureren en beheren. - Lage latentie: Omdat deze is beperkt tot één switch, introduceert het minimale vertraging. |
- Uitgebreide dekking: maakt bewaking mogelijk voor meerdere switches. - Flexibiliteit: kan worden gebruikt om verkeer van verschillende onderdelen van het netwerk te bewaken. |
- Brede dekking: maakt bewaking mogelijk voor verschillende IP-netwerken en -locaties. - Flexibiliteit: kan worden gebruikt in scenario's waarin verkeer moet worden bewaakt via lange afstanden of via complexe netwerkpaden. |
| Beperkingen | Lokaal bereik: beperkt tot bewaking binnen dezelfde switch, wat mogelijk niet voldoende is voor grotere netwerken. | Netwerkbelasting: mogelijk verhoogt de belasting van het netwerk vanwege het RSPAN VLAN-verkeer. |
Houd bij het selecteren van een mirroringmethode ook rekening met de volgende factoren:
| Factoren | Beschrijving |
|---|---|
| Netwerkgrootte en -indeling | - SPAN is geschikt voor lokale bewaking. - RSPAN voor grotere, multi-switch omgevingen - ERSPAN voor geografisch verspreide of complexe netwerken. |
| Verkeersvolume | Zorg ervoor dat de gekozen methode het volume van het verkeer kan verwerken zonder dat er sprake is van een aanzienlijke latentie of netwerkbelasting. |
| Bewakingsbehoeften | Bepaal of verkeer lokaal of in verschillende netwerksegmenten wordt vastgelegd en kies de juiste methode. |
Processen voor verkeerspiegeling
Gebruik een van de volgende procedures om verkeerspiegeling in uw netwerk te configureren:
SPAN-poorten:
- Spiegeling configureren met een switch SPAN-poort
- Verkeersspiegeling configureren met een RSPAN-poort (Remote SPAN)
- De bewakingsinterfaces van een sensor bijwerken (ERSPAN configureren)
Virtuele switches:
- Verkeersspiegeling configureren met een ESXi vSwitch
- Verkeerspiegeling configureren met een Hyper-V vSwitch
Defender for IoT biedt ook ondersteuning voor verkeerspiegeling met TAP-configuraties. Zie Actieve of passieve aggregatie (TAP) voor meer informatie.