Configurar o Espelhamento de Porta
Aplica-se a: Advanced Threat Analytics versão 1.9
Observação
Este artigo só é relevante se implementar ATA Gateways em vez de ATA Lightweight Gateways. Para determinar se precisa de utilizar os ATA Gateways, veja Escolher os gateways certos para a sua implementação.
A main origem de dados utilizada pelo ATA é uma inspeção aprofundada de pacotes do tráfego de rede de e para os controladores de domínio. Para que o ATA veja o tráfego de rede, tem de configurar o espelhamento de porta ou utilizar um TAP de Rede.
Para espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio a monitorizar, como a origem do tráfego de rede. Normalmente, tem de trabalhar com a equipa de rede ou virtualização para configurar o espelhamento de porta. Para obter mais informações, veja a documentação do fornecedor.
Os controladores de domínio e os ATA Gateways podem ser físicos ou virtuais. Seguem-se métodos comuns para espelhamento de porta e algumas considerações. Para obter mais informações, veja a documentação do produto do comutador ou do servidor de virtualização. O fabricante do comutador pode utilizar terminologia diferente.
Analisador de Portas Comutado (SPAN) – copia o tráfego de rede de uma ou mais portas de comutador para outra porta de comutador no mesmo comutador. Tanto o ATA Gateway como os controladores de domínio têm de estar ligados ao mesmo comutador físico.
Remote Switch Port Analyzer (RSPAN) – permite-lhe monitorizar o tráfego de rede das portas de origem distribuídas por vários comutadores físicos. O RSPAN copia o tráfego de origem para uma VLAN especial configurada pelo RSPAN. Esta VLAN tem de ser ligada aos outros comutadores envolvidos. O RSPAN funciona na Camada 2.
Encapsulado Remote Switch Port Analyzer (ERSPAN) – é uma tecnologia proprietária da Cisco que funciona na Camada 3. O ERSPAN permite-lhe monitorizar o tráfego entre comutadores sem a necessidade de ramais VLAN. O ERSPAN utiliza o encapsulamento de encaminhamento genérico (GRE) para copiar o tráfego de rede monitorizado. Atualmente, o ATA não pode receber diretamente tráfego ERSPAN. Para que o ATA funcione com tráfego ERSPAN, um comutador ou router que possa decapsular o tráfego tem de ser configurado como o destino do ERSPAN onde o tráfego é decapsulado. Em seguida, configure o comutador ou router para reencaminhar o tráfego descapsulado para o ATA Gateway com SPAN ou RSPAN.
Observação
Se o controlador de domínio que está a ser espelhado de porta estiver ligado através de uma ligação WAN, certifique-se de que a ligação WAN consegue processar a carga adicional do tráfego ERSPAN. O ATA só suporta a monitorização de tráfego quando o tráfego chega à NIC e ao controlador de domínio da mesma forma. O ATA não suporta a monitorização de tráfego quando o tráfego é dividido em portas diferentes.
Opções de espelhamento de porta suportadas
| ATA Gateway | Controlador de Domínio | Considerações |
|---|---|---|
| Virtual | Virtual no mesmo anfitrião | O comutador virtual tem de suportar o espelhamento de porta. Mover uma das máquinas virtuais para outro anfitrião por si só pode interromper o espelhamento de porta. |
| Virtual | Virtual em anfitriões diferentes | Certifique-se de que o comutador virtual suporta este cenário. |
| Virtual | Físico | Requer um adaptador de rede dedicado. Caso contrário, o ATA vê todo o tráfego a entrar e a sair do anfitrião, até mesmo o tráfego que envia para o ATA Center. |
| Físico | Virtual | Certifique-se de que o comutador virtual suporta este cenário e a configuração do espelhamento de porta nos comutadores físicos com base no cenário: Se o anfitrião virtual estiver no mesmo comutador físico, terá de configurar um intervalo de nível de comutador. Se o anfitrião virtual estiver num comutador diferente, terá de configurar o RSPAN ou o ERSPAN*. |
| Físico | Físico no mesmo comutador | O comutador físico tem de suportar o ESPELHAMENTO DE PORTAS/SPAN. |
| Físico | Físico num comutador diferente | Requer comutadores físicos para suportar RSPAN ou ERSPAN*. |
* O ERSPAN só é suportado quando o isolamento decapsão é efetuado antes de o tráfego ser analisado pelo ATA.
Observação
Certifique-se de que os controladores de domínio e os ATA Gateways aos quais se ligam têm tempo sincronizado para um período de cinco minutos entre si.
Se estiver a trabalhar com clusters de virtualização:
- Para cada controlador de domínio em execução no cluster de virtualização numa máquina virtual com o ATA Gateway, configure a afinidade entre o controlador de domínio e o ATA Gateway. Desta forma, quando o controlador de domínio se move para outro anfitrião no cluster, o ATA Gateway segue-o. Isto funciona bem quando existem alguns controladores de domínio.
Observação
Se o seu ambiente suportar Virtual para Virtual em anfitriões diferentes (RSPAN), não precisa de se preocupar com a afinidade.
- Para se certificar de que os ATA Gateways estão corretamente dimensionados para processar a monitorização de todos os DCs sozinhos, experimente esta opção: Instalar uma máquina virtual em cada anfitrião de virtualização e instalar um ATA Gateway em cada anfitrião. Configure cada ATA Gateway para monitorizar todos os controladores de domínio que são executados no cluster. Desta forma, qualquer anfitrião em que os controladores de domínio são executados é monitorizado.
Depois de configurar o espelhamento de porta, confirme que o espelhamento de porta está a funcionar antes de instalar o ATA Gateway.