Escolher um método de espelhamento de tráfego para sensores de OT
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com Microsoft Defender para IoT e descreve os métodos de espelhamento de tráfego com suporte para monitoramento de OT com o Microsoft Defender para IoT.
A decisão sobre qual método de espelhamento de tráfego usar depende da configuração de rede e das necessidades da sua organização.
Para garantir que o Defender para IoT analise apenas o tráfego que você deseja monitorar, recomendamos configurar o espelhamento de tráfego em um comutador ou um TAP (ponto de acesso do terminal) que inclua apenas tráfego industrial de ICS e SCADA.
Observação
SPAN e RSPAN são terminologias da Cisco. Outras marcas de comutadores têm funcionalidades semelhantes, mas podem usar uma terminologia diferente.
Recomendações de escopo da porta de espelhamento
É recomendável configurar o espelhamento de tráfego de todas as portas do comutador, mesmo que nenhum dado esteja conectado a elas. Se você não fizer isso, os dispositivos invasores poderão ser conectados posteriormente a uma porta não monitorada e esses dispositivos não serão detectados pelos sensores de rede do Defender para IoT.
Para redes OT que usam mensagens de difusão ou multicast, configure o espelhamento de tráfego somente para transmissões RX (Recebimento). As mensagens multicast serão repetidas para todas as portas ativas relevantes e você usará mais largura de banda desnecessariamente.
Comparar métodos de espelhamento de tráfego com suporte
O Defender para IoT dá suporte aos seguintes métodos:
Método | Descrição | Mais informações |
---|---|---|
Uma porta SPAN com comutador | Espelha o tráfego local de interfaces no comutador para uma interface diferente no mesmo comutador | Configurar o espelhamento com uma porta SPAN com comutador |
Porta RSPAN (SPAN remoto) | Espelha o tráfego de várias portas de origem distribuídas em uma VLAN remota dedicada | Portas RSPAN (SPAN remoto) Configurar o espelhamento de tráfego com uma porta SPAN Remota (RSPAN) |
TAP (agregação ativa e passiva) | Instala um TAP de agregação ativa/passiva embutida ao cabo de rede, que duplica o tráfego para o sensor de rede OT. Melhor método para monitoramento forense. | Agregação ativa ou passiva (TAP) |
Um ERSPAN (analisador de porta comutado remoto encapsulado) | Espelha interfaces de entrada para a interface de monitoramento do sensor OT | Portas ERSPAN Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN). |
An ESXi vSwitch | Espelha o tráfego usando o modo Promíscuo em um vSwitch ESXi. | Espelhamento de tráfego com comutadores virtuais Configurar o espelhamento de tráfego com um ESXi vSwitch. |
A Hyper-V vSwitch | Espelha o tráfego usando o modo Promíscuo em um vSwitch Hyper-V. | Espelhamento de tráfego com comutadores virtuais Configurar espelhamento de tráfego com um Hyper-V vSwitch |
Portas RSPAN (SPAN remoto)
Configure uma sessão de SPAN remoto (RSPAN) em seu comutador para espelhar o tráfego de várias portas de origem distribuídas em uma VLAN remota dedicada.
Os dados na VLAN são entregues por meio de portas de tronco em vários comutadores para um comutador especificado que contém a porta de destino física. Conecte a porta de destino ao sensor de rede de OT para monitorar o tráfego com o Defender para IoT.
O seguinte diagrama mostra um exemplo de uma arquitetura de VLAN remoto:
Para obter mais informações, consulte Configurar o espelhamento de tráfego com uma porta RSPAN (SPAN remoto).
Agregação ativa ou passiva (TAP)
Ao usar a agregação ativa ou passiva para espelhar o tráfego, um TAP (ponto de acesso de terminal de agregação ativa ou passiva) é instalado embutido no cabo de rede. O TAP duplica o tráfego de Recebimento e Transmissão para o sensor de rede de OT para que você possa monitorar o tráfego com o Defender para IoT.
Um TAP é um dispositivo de hardware que permite que o tráfego de rede flua para frente e para trás entre portas sem interrupção. O TAP cria uma cópia exata de ambos os lados do fluxo de tráfego, continuamente, sem comprometer a integridade da rede.
Por exemplo:
Alguns TAPs agregam Recepção e o Transmissão, dependendo da configuração do comutador. Se o comutador não der suporte à agregação, cada TAP usará duas portas no sensor de rede de OT para monitorar o tráfego de Recebimento e Transmissão.
Vantagens do tráfego de espelhamento com um TAP
Recomendamos TAPs especialmente durante o espelhamento de tráfego para fins forenses. As vantagens do tráfego de espelhamento com um TAP incluem:
Os TAPs são baseados em hardware e não podem ser sabotados
Os TAPs transmitem todo o tráfego, até mesmo mensagens danificadas, que geralmente são descartadas pelos comutadores
Os TAPs não diferenciam o processador, o que significa que o tempo do pacote é exato. Por outro lado, os comutadores lidam com a funcionalidade de espelhamento como uma tarefa de baixa prioridade, o que pode afetar o tempo dos pacotes espelhados.
Você também pode usar um agregador de TAP para monitorar suas portas de tráfego. No entanto, os agregadores de TAP não são baseados em processador e não são tão intrinsecamente seguros quanto os TAPs de hardware. Os agregadores TAP podem não refletir o tempo exato do pacote.
Modelos comuns de TAP
Os modelos de TAP a seguir foram testados quanto à compatibilidade com o Defender para IoT. Outros fornecedores e modelos também podem ser compatíveis.
Garland P1GCCAS
Ao usar um TAP da Garland, configure sua rede para dar suporte à agregação. Para obter mais informações, veja o diagrama de Agregação de TAP na guia Diagramas de Rede no guia de instalação da Garland.
IXIA TPA2-CU3
Ao usar um TAP da Ixia, confirme se o Modo de agregação está ativo. Para obter mais informações, confira o guia de instalação da Ixia.
US Robotics USR 4503
Ao usar um TAP da US Robotics, alterne o modo de agregação configurando a opção selecionável como AGG. Para obter mais informações, confira o guia de instalação da US Robotics.
Portas ERSPAN
Use um ERSPAN (analisador de porta comutado remoto encapsulado) para espelhar interfaces de entrada em uma rede IP para a interface de monitoramento do sensor OT ao proteger redes remotas com o Defender para IoT.
A interface de monitoramento do sensor é uma interface promíscua e não tem um endereço IP alocado especificamente. Quando o suporte ao ERSPAN estiver configurado, as cargas de tráfego encapsuladas com encapsulamento de túnel GRE serão analisadas pelo sensor.
Use o encapsulamento ERSPAN quando houver a necessidade de estender o tráfego monitorado entre domínios da Camada 3. O ERSPAN é um recurso proprietário da Cisco e está disponível apenas em roteadores e comutadores específicos. Para obter mais informações, confira a documentação da Cisco.
Observação
Este artigo apresenta diretrizes de alto nível para configurar o espelhamento de tráfego com o ERSPAN. Os detalhes específicos da implementação variam conforme o fornecedor de equipamentos.
Arquitetura ERSPAN
As sessões ERSPAN incluem uma sessão de origem e uma sessão de destino configurada em diferentes comutadores. Entre as opções de origem e destino, o tráfego é encapsulado em GRE e pode ser roteado por redes de camada 3.
Por exemplo:
O ERSPAN transporta o tráfego espelhado por uma rede IP usando o seguinte processo:
- Um roteador de origem encapsula o tráfego e envia o pacote pela rede.
- No roteador de destino, o pacote é desencapsulado e enviado para a interface de destino.
As opções de origem ERSPAN incluem elementos como:
- Portas Ethernet e canais de porta
- VLANs; todas as interfaces com suporte na VLAN são fontes ERSPAN
- Canais de porta de malha
- Portas satélites e canais de porta da interface do host
Para obter mais informações, confira Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).
Espelhamento de tráfego com comutadores virtuais
Embora um comutador virtual não tenha recursos de espelhamento, você pode usar o modo Promíscuo em um ambiente de comutador virtual como uma solução alternativa para configurar uma porta de monitoramento, semelhante a um Porta SPAN. Uma porta SPAN em seu comutador espelha o tráfego local das interfaces no comutador para uma interface diferente no mesmo comutador.
Conecte a opção de destino ao sensor de rede OT para monitorar o tráfego com o Defender para IoT.
O modo Promíscuo é um modo de operação e uma técnica de segurança, monitoramento e administração definida no nível do comutador virtual ou do grupo de portas. Quando o modo Promíscuo é usado, qualquer um dos adaptadores de rede da máquina virtual que estão no mesmo grupo de portas pode exibir todo o tráfego de rede que passa pelo comutador virtual. Por padrão, o modo Promíscuo está desativado.
Para obter mais informações, consulte:
- Configurar o espelhamento de tráfego com um ESXi vSwitch
- Configurar espelhamento de tráfego com um Hyper-V vSwitch