Visão geral do espelhamento de tráfego
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT e fornece uma visão geral dos procedimentos para configurar o espelhamento de tráfego em sua rede.
Pré-requisitos
Antes de configurar o espelhamento de tráfego, verifique se você decidiu sobre os locais do sensor e o método de espelhamento de tráfego.
Localização do sensor
Identifique o melhor local para colocar o sensor na rede, monitorar o tráfego de rede e fornecer o melhor valor de descoberta e segurança possível. O local deve fornecer ao sensor acesso aos três tipos importantes de tráfego de rede a seguir:
| Type | Descrição |
|---|---|
| Tráfego da Camada 2 (L2) | O tráfego L2, que inclui protocolos como ARP e DHCP, é um indicador crítico do posicionamento do sensor. Acessar o tráfego L2 também significa que o sensor pode coletar dados precisos e valiosos sobre os dispositivos da rede. Quando um sensor está posicionado corretamente, ele captura com precisão os endereços MAC dos dispositivos. Essas informações vitais fornecem indicadores de fornecedor, o que aprimora a capacidade do sensor de classificar dispositivos. |
| Protocolos OT | Os protocolos OT são essenciais para extrair informações detalhadas sobre dispositivos na rede. Esses protocolos fornecem dados cruciais que levam à classificação precisa do dispositivo. Analisando o tráfego de protocolo OT, o sensor pode reunir detalhes abrangentes sobre cada dispositivo, como seu modelo, versão de firmware e outras características relevantes. Esse nível de detalhes é necessário para manter um inventário preciso e atualizado de todos os dispositivos, o que é crucial para o gerenciamento e a segurança da rede. |
| Comunicação interna de sub-rede | Os dispositivos de redes OT se comunicam dentro de uma sub-rede e as informações encontradas na comunicação interna da sub-rede garantem a qualidade dos dados coletados pelos sensores. Os sensores são colocados onde têm acesso à comunicação interna da sub-rede para monitorar as interações do dispositivo, que geralmente incluem dados críticos. Ao capturar esses pacotes de dados, os sensores criam uma imagem detalhada e precisa da rede. |
Para obter mais informações, consulte Como colocar sensores de OT em sua rede.
Métodos de espelhamento de tráfego
Há três tipos de métodos de espelhamento de tráfego, cada um projetado para cenários de uso específicos. Escolha o melhor método com base no uso e no tamanho da rede.
| Tipo de espelhamento | Analisador de Porta Comutada (SPAN) | RSPAN (SPAN remoto) | SPAN Remoto Encapsulado (ERSPAN) |
|---|---|---|---|
| Cenário de Uso | Ideal para monitorar e analisar o tráfego em um único comutador ou em um segmento de rede pequeno. | Adequado para redes maiores ou cenários em que o tráfego precisa ser monitorado em diferentes segmentos de rede. | Ideal para monitorar o tráfego em redes diversas ou geograficamente dispersas, incluindo sites remotos. |
| Descrição | SPAN é uma técnica de espelhamento de tráfego local usada em um único comutador ou uma pilha de comutadores. Ele permite que os administradores de rede duplicam o tráfego de portas de origem especificadas ou VLANs para uma porta de destino em que o dispositivo de monitoramento, como um sensor de rede ou analisador, está conectado. | A RSPAN estende os recursos do SPAN permitindo que o tráfego seja espelhado em vários comutadores. Ele foi projetado para ambientes em que o monitoramento precisa ocorrer em diferentes comutadores ou pilhas de comutadores. | O ERSPAN leva a RSPAN um passo adiante encapsulando o tráfego espelhado em pacotes GRE (Encapsulamento de Roteamento Genérico). Esse método permite o espelhamento de tráfego em diferentes segmentos de rede ou até mesmo na Internet. |
| Configuração de espelhamento | - Portas de origem/VLANs: configure a opção para espelhar o tráfego de portas ou VLANs selecionadas. - Porta de Destino: o tráfego espelhado é enviado para uma porta designada no mesmo comutador. Essa porta está conectada ao dispositivo de monitoramento. |
- Portas de origem/VLANs: o tráfego é espelhado de portas de origem especificadas ou VLANs em um comutador de origem. - RSPAN VLAN: O tráfego espelhado é enviado para uma VLAN RSPAN especial que abrange vários comutadores. - Porta de Destino: o tráfego é extraído dessa VLAN RSPAN em uma porta designada em um comutador remoto em que o dispositivo de monitoramento está conectado. |
- Portas de origem/VLANs: semelhante a SPAN e RSPAN, o tráfego é espelhado de portas de origem ou VLANs especificadas. - Encapsulamento: o tráfego espelhado é encapsulado em pacotes GRE, que podem ser roteados entre redes IP. - Porta de Destino: o tráfego encapsulado é enviado para um dispositivo de monitoramento conectado a uma porta de destino em que os pacotes GRE são descapsulados e analisados. |
| Benefícios | - Simplicidade: fácil de configurar e gerenciar. - Baixa Latência: como ele está confinado a um único comutador, ele introduz um atraso mínimo. |
- Cobertura Estendida: permite o monitoramento em vários comutadores. - Flexibilidade: pode ser usado para monitorar o tráfego de diferentes partes da rede. |
- Cobertura ampla: habilita o monitoramento em diferentes redes IP e locais. - Flexibilidade: pode ser usado em cenários em que o tráfego precisa ser monitorado em longas distâncias ou por meio de caminhos de rede complexos. |
| Limitações | Escopo Local: limitado ao monitoramento dentro do mesmo comutador, o que pode não ser suficiente para redes maiores. | Carga de Rede: potencialmente aumenta a carga na rede devido ao tráfego de VLAN RSPAN. |
Ao selecionar um método de espelhamento, considere também os seguintes fatores:
| Fatores | Descrição |
|---|---|
| Tamanho e layout da rede | - SPAN é adequado para monitoramento local. - RSPAN para ambientes maiores e com várias opções - ERSPAN para redes geograficamente dispersas ou complexas. |
| Volume de Tráfego | Verifique se o método escolhido pode lidar com o volume de tráfego sem introduzir latência significativa ou carga de rede. |
| Necessidades de monitoramento | Determine se o tráfego é capturado localmente ou em diferentes segmentos de rede e escolha o método apropriado. |
Processos de espelhamento de tráfego
Use um dos seguintes procedimentos para configurar o monitoramento de tráfego na sua rede:
Portas SPAN:
- Configurar o espelhamento com uma porta SPAN com comutador
- Configurar o espelhamento de tráfego com uma porta SPAN Remota (RSPAN)
- Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN)
Comutadores virtuais:
- Configurar o espelhamento de tráfego com um ESXi vSwitch
- Configurar espelhamento de tráfego com um Hyper-V vSwitch
O Defender para IoT também dá suporte ao espelhamento de tráfego com configurações do TAP. Para obter mais informações, consulte TAP (Agregação ativa ou passiva).