Udostępnij za pośrednictwem


Wybieranie metody dublowania ruchu dla czujników OT

Ten artykuł jest jednym z serii artykułów opisujących ścieżkę wdrażania monitorowania OT z Microsoft Defender dla IoT i opisuje obsługiwane metody dublowania ruchu na potrzeby monitorowania OT z Microsoft Defender dla IoT.

Diagram przedstawiający pasek postępu z wyróżnionym pozycją Plan i przygotowanie.

Decyzja o korzystaniu z metody dublowania ruchu zależy od konfiguracji sieci i potrzeb organizacji.

Aby upewnić się, że usługa Defender for IoT analizuje tylko ruch, który chcesz monitorować, zalecamy skonfigurowanie dublowania ruchu na przełączniku lub w punkcie dostępu terminalu(TAP), który obejmuje tylko przemysłowy ruch ICS i SCADA.

Uwaga

SPAN i RSPAN to terminologia cisco. Inne marki przełączników mają podobne funkcje, ale mogą używać innej terminologii.

Zalecenia dotyczące zakresu portów dublowania

Zalecamy skonfigurowanie dublowania ruchu ze wszystkich portów przełącznika, nawet jeśli żadne dane nie są z nimi połączone. Jeśli tego nie zrobisz, nieautoryzowane urządzenia mogą być później połączone z niemonitorowanym portem, a te urządzenia nie zostaną wykryte przez czujniki sieciowe usługi Defender for IoT.

W przypadku sieci OT korzystających z obsługi komunikatów emisji lub multiemisji należy skonfigurować dublowanie ruchu tylko dla transmisji RX (Odbieranie). Komunikaty multiemisji będą powtarzane dla jakichkolwiek aktywnych portów i niepotrzebnie będziesz używać większej przepustowości.

Porównanie obsługiwanych metod dublowania ruchu

Usługa Defender for IoT obsługuje następujące metody:

Metoda Opis Więcej informacji
Port SPAN przełącznika Dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku Konfigurowanie dublowania przy użyciu portu SPAN przełącznika
Zdalny port SPAN (RSPAN) Dubluje ruch z wielu rozproszonych portów źródłowych do dedykowanej zdalnej sieci VLAN Zdalne porty SPAN (RSPAN)

Konfigurowanie dublowania ruchu przy użyciu portu REMOTE SPAN (RSPAN)
Agregacja aktywna lub pasywna (TAP) Instaluje aktywny/pasywny agregacja TAP wbudowany do kabla sieciowego, który duplikuje ruch do czujnika sieci OT. Najlepsza metoda monitorowania kryminalistycznego. Agregacja aktywna lub pasywna (TAP)
Hermetyzowany analizator portów z przełącznikiem zdalnym (ERSPAN) Dubluje interfejsy wejściowe do interfejsu monitorowania czujnika OT Porty ERSPAN

Zaktualizuj interfejsy monitorowania czujnika (skonfiguruj funkcję ERSPAN).
Przełącznik wirtualny ESXi Dubluje ruch przy użyciu trybu promiscuous na przełączniku vSwitch ESXi. Dublowanie ruchu za pomocą przełączników wirtualnych

Skonfiguruj dublowanie ruchu za pomocą przełącznika wirtualnego ESXi.
Przełącznik wirtualny funkcji Hyper-V Dubluje ruch przy użyciu trybu promiscuous na przełączniku vSwitch funkcji Hyper-V. Dublowanie ruchu za pomocą przełączników wirtualnych

Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V

Zdalne porty SPAN (RSPAN)

Skonfiguruj zdalną sesję SPAN (RSPAN) na przełączniku w celu dublowania ruchu z wielu rozproszonych portów źródłowych do dedykowanej zdalnej sieci VLAN.

Dane w sieci VLAN są następnie dostarczane za pośrednictwem portów magistrali, w wielu przełącznikach do określonego przełącznika, który zawiera port docelowy fizyczny. Połącz port docelowy z czujnikiem sieci OT, aby monitorować ruch za pomocą usługi Defender for IoT.

Na poniższym diagramie przedstawiono przykład zdalnej architektury sieci VLAN:

Diagram zdalnego sieci VLAN.

Aby uzyskać więcej informacji, zobacz Konfigurowanie dublowania ruchu przy użyciu portu Remote SPAN (RSPAN).

Agregacja aktywna lub pasywna (TAP)

W przypadku używania aktywnej lub pasywnej agregacji do dublowania ruchu aktywny lub pasywny punkt dostępu terminalu agregacji (TAP) jest instalowany w tekście do kabla sieciowego. Interfejs TAP duplikuje zarówno ruch odbierający , jak i przesyłający do czujnika sieci OT, aby można było monitorować ruch za pomocą usługi Defender for IoT.

Tap to urządzenie sprzętowe, które umożliwia przepływ ruchu sieciowego z powrotem i z powrotem między portami bez przerwy. Interfejs TAP tworzy dokładną kopię obu stron przepływu ruchu bez naruszania integralności sieci.

Przykład:

Diagram aktywnych i pasywnych taps.

Niektórzy taps agregują zarówno odbieranie , jak i przesyłanie, w zależności od konfiguracji przełącznika. Jeśli przełącznik nie obsługuje agregacji, każdy interfejs TAP używa dwóch portów w czujniku sieci OT do monitorowania ruchu odbierania i przesyłania .

Zalety dublowania ruchu za pomocą interfejsu TAP

Zalecamy taps szczególnie w przypadku dublowania ruchu w celach kryminalistycznych. Zalety dublowania ruchu z taps obejmują:

  • Taps są oparte na sprzęcie i nie mogą zostać naruszone

  • Taps przekazuje cały ruch, nawet uszkodzone komunikaty, które są często porzucane przez przełączniki

  • Taps nie jest wrażliwa na procesor, co oznacza, że chronometraż pakietów jest dokładny. Natomiast przełączniki obsługują funkcję dublowania jako zadanie o niskim priorytcie, które może mieć wpływ na czas dublowanych pakietów.

Możesz również użyć agregatora TAP do monitorowania portów ruchu. Jednak agregatory TAP nie są oparte na procesorze i nie są tak bezpieczne wewnętrznie, jak sprzętowe taps. Agregatory TAP mogą nie odzwierciedlać dokładnego chronometrażu pakietów.

Typowe modele tap

Następujące modele TAP zostały przetestowane pod kątem zgodności z usługą Defender for IoT. Inni dostawcy i modele mogą być również zgodne.

  • Garland P1GCCAS

    W przypadku korzystania z narzędzia Garland TAP upewnij się, że sieć jest skonfigurowana do obsługi agregacji. Aby uzyskać więcej informacji, zobacz diagram Agregacja naciśnij na karcie Diagramy sieciowe w przewodniku instalacji narzędzia Garland.

  • IXIA TPA2-CU3

    W przypadku korzystania z interfejsu Ixia TAP upewnij się, że tryb agregacji jest aktywny. Aby uzyskać więcej informacji, zobacz przewodnik instalacji Ixia.

  • US Robotics USR 4503

    W przypadku korzystania z funkcji TAP firmy US Robotics upewnij się, że przełącz tryb agregacji jest włączony, ustawiając przełącznik z możliwością wyboru na AGG. Aby uzyskać więcej informacji, zobacz przewodnik instalacji robotyki USA.

Porty ERSPAN

Użyj hermetyzowanego analizatora portów zdalnego przełącznika (ERSPAN) do dublowania interfejsów wejściowych za pośrednictwem sieci IP do interfejsu monitorowania czujnika OT podczas zabezpieczania sieci zdalnych za pomocą usługi Defender for IoT.

Interfejs monitorowania czujnika jest interfejsem promiscyjnym i nie ma specjalnie przydzielonego adresu IP. Po skonfigurowaniu obsługi ERSPAN ładunki ruchu, które są hermetyzowane za pomocą hermetyzacji tunelu GRE, zostaną przeanalizowane przez czujnik.

Używaj hermetyzacji ERSPAN, gdy istnieje potrzeba rozszerzenia monitorowanego ruchu między domenami warstwy 3. ERSPAN jest zastrzeżoną funkcją Cisco i jest dostępna tylko na określonych routerach i przełącznikach. Aby uzyskać więcej informacji, zobacz dokumentację cisco.

Uwaga

Ten artykuł zawiera ogólne wskazówki dotyczące konfigurowania dublowania ruchu przy użyciu funkcji ERSPAN. Szczegółowe informacje o implementacji różnią się w zależności od dostawcy wyposażenia.

Architektura ERSPAN

Sesje ERSPAN obejmują sesję źródłową i sesję docelową skonfigurowaną na różnych przełącznikach. Między przełącznikami źródłowymi i docelowym ruch jest hermetyzowany w środowisku GRE i może być kierowany przez sieci warstwy 3.

Przykład:

Diagram ruchu zdublowany z sieci powietrznej lub przemysłowej do czujnika sieci OT przy użyciu ERSPAN.

Usługa ERSPAN transportuje dublowany ruch przez sieć IP przy użyciu następującego procesu:

  1. Router źródłowy hermetyzuje ruch i wysyła pakiet za pośrednictwem sieci.
  2. W routerze docelowym pakiet jest dekapitulowany i wysyłany do interfejsu docelowego.

Opcje źródła ERSPAN obejmują elementy, takie jak:

  • Porty Ethernet i kanały portów
  • Sieci vlan; wszystkie obsługiwane interfejsy w sieci VLAN to źródła ERSPAN
  • Kanały portów sieci szkieletowej
  • Porty satelitarne i kanały portów interfejsu hosta

Aby uzyskać więcej informacji, zobacz Aktualizowanie interfejsów monitorowania czujnika (konfigurowanie ERSPAN).

Dublowanie ruchu za pomocą przełączników wirtualnych

Przełącznik wirtualny nie ma możliwości dublowania, ale można użyć trybu promiscuous w środowisku przełącznika wirtualnego jako obejście konfigurowania portu monitorowania, podobnie jak port SPAN. Port SPAN na przełączniku dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku.

Połącz przełącznik docelowy z czujnikiem sieci OT, aby monitorować ruch za pomocą usługi Defender for IoT.

Tryb promiscuous to tryb działania i technika zabezpieczeń, monitorowania i administrowania zdefiniowana na poziomie przełącznika wirtualnego lub grupy portów. Gdy jest używany tryb promiscyjny, każdy z interfejsów sieciowych maszyny wirtualnej w tej samej grupie portów może wyświetlać cały ruch sieciowy przechodzący przez ten przełącznik wirtualny. Domyślnie tryb promiscuous jest wyłączony.

Aby uzyskać więcej informacji, zobacz:

Następne kroki