Udostępnij za pośrednictwem

Wybieranie metody dublowania ruchu dla czujników OT

  • Artykuł

Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i opisano obsługiwane metody dublowania ruchu na potrzeby monitorowania ot za pomocą usługi Microsoft Defender dla IoT.

Diagram przedstawiający pasek postępu z wyróżnioną pozycją Planowanie i przygotowywanie.

Decyzja o użyciu metody dublowania ruchu zależy od konfiguracji sieci i potrzeb organizacji.

Aby zapewnić, że usługa Defender dla IoT analizuje tylko ruch, który chcesz monitorować, zalecamy skonfigurowanie dublowania ruchu na przełączniku lub w punkcie dostępu terminalu obejmującym tylko przemysłowy ruch ICS i SCADA.

Uwaga

SPAN i RSPAN to terminologia cisco. Inne marki przełączników mają podobne funkcje, ale mogą używać innej terminologii.

Zalecenia dotyczące zakresu portów dublowania

Zalecamy skonfigurowanie dublowania ruchu ze wszystkich portów przełącznika, nawet jeśli żadne dane nie są z nimi połączone. Jeśli tego nie zrobisz, nieautoryzowane urządzenia mogą być później połączone z niemonitorowanym portem, a te urządzenia nie zostaną wykryte przez czujniki sieciowe usługi Defender for IoT.

W przypadku sieci OT korzystających z emisji lub obsługi komunikatów multiemisji skonfiguruj dublowanie ruchu tylko dla transmisji RX (odbierz). Komunikaty multiemisji będą powtarzane dla jakichkolwiek odpowiednich aktywnych portów i niepotrzebnie będziesz używać większej przepustowości.

Porównanie obsługiwanych metod dublowania ruchu

Usługa Defender dla IoT obsługuje następujące metody:

Metoda Opis Więcej informacji
Port SPAN przełącznika Dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku Konfigurowanie dublowania przy użyciu portu SPAN przełącznika
Zdalny port SPAN (RSPAN) Dubluje ruch z wielu rozproszonych portów źródłowych do dedykowanej zdalnej sieci VLAN Zdalne porty SPAN (RSPAN)

Konfigurowanie dublowania ruchu przy użyciu portu Remote SPAN (RSPAN)
Agregacja aktywna lub pasywna (TAP) Instaluje aktywny/pasywny agregacji TAP wbudowany sieciowy, który duplikuje ruch do czujnika sieciowego OT. Najlepsza metoda monitorowania śledczego. Agregacja aktywna lub pasywna (TAP)
Hermetyzowany analizator portów zdalnego przełącznika (ERSPAN) Dubluje interfejsy wejściowe do interfejsu monitorowania czujnika OT Porty ERSPAN

Aktualizowanie interfejsów monitorowania czujnika (konfigurowanie modułu ERSPAN).
Przełącznik wirtualny ESXi Dubluje ruch przy użyciu trybu Promiscuous na przełączniku wirtualnym ESXi. Dublowanie ruchu za pomocą przełączników wirtualnych

Skonfiguruj dublowanie ruchu za pomocą przełącznika wirtualnego ESXi.
Przełącznik wirtualny funkcji Hyper-V Dubluje ruch przy użyciu trybu Promiscuous na przełączniku wirtualnym funkcji Hyper-V. Dublowanie ruchu za pomocą przełączników wirtualnych

Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V

Zdalne porty SPAN (RSPAN)

Skonfiguruj zdalną sesję SPAN (RSPAN) na przełączniku na potrzeby dublowania ruchu z wielu rozproszonych portów źródłowych do dedykowanej zdalnej sieci VLAN.

Dane w sieci VLAN są następnie dostarczane za pośrednictwem portów magistrali, przez wiele przełączników do określonego przełącznika, który zawiera port docelowy fizyczny. Połącz port docelowy z czujnikiem sieci OT, aby monitorować ruch za pomocą usługi Defender dla IoT.

Na poniższym diagramie przedstawiono przykład zdalnej architektury sieci VLAN:

Diagram zdalnej sieci VLAN.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania ruchu przy użyciu portu Remote SPAN (RSPAN).

Agregacja aktywna lub pasywna (TAP)

W przypadku korzystania z aktywnej lub pasywnej agregacji w celu dublowania ruchu sieciowego jest zainstalowany aktywny lub pasywny punkt dostępu terminalu agregacji (TAP) w tekście do sieciowego. Funkcja TAP duplikuje zarówno ruch odbierający , jak i przesyłający do czujnika sieciowego OT, dzięki czemu można monitorować ruch za pomocą usługi Defender dla IoT.

Tap to urządzenie sprzętowe, które umożliwia przepływ ruchu sieciowego z powrotem i z powrotem między portami bez przerwy. Funkcja TAP tworzy dokładną kopię obu stron przepływu ruchu bez naruszania integralności sieci.

Na przykład:

Diagram aktywnych i pasywnych punktów dostępu.

Niektóre taps agregują zarówno odbieranie , jak i przesyłanie, w zależności od konfiguracji przełącznika. Jeśli przełącznik nie obsługuje agregacji, każdy interfejs TAP używa dwóch portów w czujniku sieci OT do monitorowania zarówno ruchu odbieranego , jak i przesyłanego .

Zalety dublowania ruchu za pomocą interfejsu TAP

Zalecamy taps szczególnie w przypadku dublowania ruchu w celach kryminalistycznych. Zalety dublowania ruchu przy użyciu funkcji TAPs obejmują:

  • Taps są oparte na sprzęcie i nie można ich złamać

  • Taps przechodzą cały ruch, nawet uszkodzone komunikaty, które są często porzucane przez przełączniki

  • Taps nie są wrażliwe na procesor, co oznacza, że chronometraż pakietu jest dokładny. Natomiast przełączniki obsługują funkcję dublowania jako zadanie o niskim priorytcie, które może mieć wpływ na czas dublowanych pakietów.

Możesz również użyć agregatora TAP do monitorowania portów ruchu. Jednak agregatory TAP nie są oparte na procesorach i nie są tak bezpieczne wewnętrznie, jak sprzętowe taps. Agregatory TAP mogą nie odzwierciedlać dokładnego chronometrażu pakietów.

Typowe modele TAP

Następujące modele TAP zostały przetestowane pod kątem zgodności z usługą Defender dla IoT. Inni dostawcy i modele mogą być również zgodne.

  • Garland P1GCCAS

    W przypadku korzystania z narzędzia Garland TAP skonfiguruj sieć do obsługi agregacji. Aby uzyskać więcej informacji, zobacz diagram Tap Aggregation (Naciśnij diagram agregacji) na karcie Diagramy sieciowe w przewodniku instalacji narzędzia Garland.

  • IXIA TPA2-CU3

    W przypadku korzystania z funkcji Ixia TAP upewnij się, że tryb agregacji jest aktywny. Aby uzyskać więcej informacji, zobacz przewodnik instalacji Ixia.

  • US Robotics USR 4503

    W przypadku korzystania z funkcji US Robotics TAP upewnij się, że przełącz tryb agregacji włączony, ustawiając przełącznik do wyboru na AGG. Aby uzyskać więcej informacji, zobacz us Robotics installation guide (Przewodnik instalacji robotyki USA).

Porty ERSPAN

Użyj hermetyzowanego analizatora portów przełącznika zdalnego (ERSPAN) do dublowania interfejsów wejściowych za pośrednictwem sieci IP do interfejsu monitorowania czujnika OT podczas zabezpieczania zdalnych sieci za pomocą usługi Defender for IoT.

Interfejs monitorowania czujnika jest interfejsem promiscyjnym i nie ma specjalnie przydzielonego adresu IP. Po skonfigurowaniu obsługi ERSPAN ładunki ruchu, które są hermetyzowane za pomocą hermetyzacji tunelu GRE, będą analizowane przez czujnik.

Użyj hermetyzacji ERSPAN, gdy konieczne jest rozszerzenie monitorowanego ruchu między domenami warstwy 3. ERSPAN to zastrzeżona funkcja firmy Cisco, która jest dostępna tylko na określonych routerach i przełącznikach. Aby uzyskać więcej informacji, zobacz dokumentację firmy Cisco.

Uwaga

Ten artykuł zawiera ogólne wskazówki dotyczące konfigurowania dublowania ruchu za pomocą funkcji ERSPAN. Szczegółowe informacje o implementacji będą się różnić w zależności od dostawcy sprzętu.

Architektura ERSPAN

Sesje ERSPAN obejmują sesję źródłową i sesję docelową skonfigurowaną na różnych przełącznikach. Między przełącznikami źródłowymi i docelowymi ruch jest hermetyzowany w środowisku GRE i może być kierowany przez sieci warstwy 3.

Na przykład:

Diagram ruchu zdublowany z sieci powietrznej lub przemysłowej do czujnika sieciowego OT przy użyciu ERSPAN.

Usługa ERSPAN transportuje dublowany ruch przez sieć IP przy użyciu następującego procesu:

  1. Router źródłowy hermetyzuje ruch i wysyła pakiet za pośrednictwem sieci.
  2. W routerze docelowym pakiet jest co najmniej wyrejestrowany i wysyłany do interfejsu docelowego.

Opcje źródła ERSPAN obejmują elementy, takie jak:

  • Porty Ethernet i kanały portów
  • Sieci VLAN; wszystkie obsługiwane interfejsy w sieci VLAN to źródła ERSPAN
  • Kanały portów sieci szkieletowej
  • Porty satelitarne i kanały portów interfejsu hosta

Aby uzyskać więcej informacji, zobacz Aktualizowanie interfejsów monitorowania czujnika (configure ERSPAN).

Dublowanie ruchu za pomocą przełączników wirtualnych

Chociaż przełącznik wirtualny nie ma możliwości dublowania, można użyć trybu promiskuicznego w środowisku przełącznika wirtualnego jako obejścia konfigurowania portu monitorowania, podobnie jak port SPAN. Port SPAN na przełączniku dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku.

Połącz przełącznik docelowy z czujnikiem sieci OT, aby monitorować ruch za pomocą usługi Defender dla IoT.

Tryb promiscyjny to tryb działania oraz technika zabezpieczeń, monitorowania i administrowania zdefiniowana na poziomie przełącznika wirtualnego lub grupy portów. W przypadku użycia trybu promiskuicznego dowolny z interfejsów sieciowych maszyny wirtualnej w tej samej grupie portów może wyświetlać cały ruch sieciowy przechodzący przez ten przełącznik wirtualny. Domyślnie tryb promiscuous jest wyłączony.

Aby uzyskać więcej informacji, zobacz:

Następne kroki

« Przygotowywanie wdrożenia lokacji OT