Partilhar via

Escolha um método de espelhamento de tráfego para sensores OT

  • Artigo

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e descreve os métodos de espelhamento de tráfego suportados para monitoramento de OT com o Microsoft Defender for IoT.

Diagrama de uma barra de progresso com Plano e preparação realçados.

A decisão sobre qual método de espelhamento de tráfego usar depende da configuração da rede e das necessidades da organização.

Para garantir que o Defender for IoT analise apenas o tráfego que você deseja monitorar, recomendamos que você configure o espelhamento de tráfego em um switch ou em um ponto de acesso de terminal (TAP) que inclua apenas o tráfego industrial ICS e SCADA.

Nota

SPAN e RSPAN são terminologias da Cisco. Outras marcas de switches têm funcionalidade semelhante, mas podem usar terminologia diferente.

Recomendações de escopo de porta de espelhamento

Recomendamos configurar o espelhamento de tráfego de todas as portas do switch, mesmo que nenhum dado esteja conectado a elas. Se não o fizer, os dispositivos não autorizados podem ser posteriormente ligados a uma porta não monitorizada e esses dispositivos não serão detetados pelos sensores de rede do Defender for IoT.

Para redes OT que usam mensagens broadcast ou multicast, configure o espelhamento de tráfego apenas para transmissões RX (Receive). As mensagens de multicast serão repetidas para quaisquer portas ativas relevantes e você usará mais largura de banda desnecessariamente.

Comparar métodos de espelhamento de tráfego suportados

O Defender for IoT suporta os seguintes métodos:

Método Description Mais informações
Uma porta SPAN do switch Espelha o tráfego local de interfaces no switch para uma interface diferente no mesmo switch Configurar o espelhamento com uma porta SPAN do switch
Porta RSPAN (Remote SPAN) Espelha o tráfego de várias portas de origem distribuídas em uma VLAN remota dedicada Portas RSPAN (Remote SPAN)

Configurar o espelhamento de tráfego com uma porta RSPAN (Remote SPAN)
Agregação ativa ou passiva (TAP) Instala uma agregação ativa / passiva TAP em linha ao seu cabo de rede, que duplica o tráfego para o sensor de rede OT. Melhor método de monitorização forense. Agregação ativa ou passiva (TAP)
Um analisador remoto de porta comutada encapsulado (ERSPAN) Espelha as interfaces de entrada para a interface de monitorização do seu sensor OT Portas ERSPAN

Atualize as interfaces de monitoramento de um sensor (configure o ERSPAN).
Um ESXi vSwitch Espelha o tráfego usando o modo promíscuo em um ESXi vSwitch. Espelhamento de tráfego com comutadores virtuais

Configure o espelhamento de tráfego com um ESXi vSwitch.
Um vSwitch Hyper-V Espelha o tráfego usando o modo Promíscuo em um Hyper-V vSwitch. Espelhamento de tráfego com comutadores virtuais

Configurar o espelhamento de tráfego com um vSwitch Hyper-V

Portas RSPAN (Remote SPAN)

Configure uma sessão de SPAN remoto (RSPAN) no switch para espelhar o tráfego de várias portas de origem distribuídas em uma VLAN remota dedicada.

Os dados na VLAN são então entregues através de portas troncalizadas, através de vários switches para um switch especificado que contém a porta de destino física. Conecte a porta de destino ao sensor de rede OT para monitorar o tráfego com o Defender for IoT.

O diagrama a seguir mostra um exemplo de uma arquitetura VLAN remota:

Diagrama de VLAN remota.

Para obter mais informações, consulte Configurar o espelhamento de tráfego com uma porta RSPAN (Remote SPAN).

Agregação ativa ou passiva (TAP)

Ao usar a agregação ativa ou passiva para espelhar o tráfego, um ponto de acesso de terminal de agregação ativo ou passivo (TAP) é instalado em linha com o cabo de rede. A TAP duplica o tráfego de Receção e Transmissão para o sensor de rede OT para que possa monitorizar o tráfego com o Defender for IoT.

Um TAP é um dispositivo de hardware que permite que o tráfego de rede flua de um lado para o outro entre as portas sem interrupção. A TAP cria uma cópia exata de ambos os lados do fluxo de tráfego, continuamente, sem comprometer a integridade da rede.

Por exemplo:

Diagrama de TAPs ativos e passivos.

Alguns TAPs agregam Receber e Transmitir, dependendo da configuração do switch. Se o seu switch não suportar agregação, cada TAP usa duas portas no sensor de rede OT para monitorar o tráfego de receção e transmissão .

Vantagens de espelhar o tráfego com uma TAP

Recomendamos TAPs, especialmente quando o espelhamento de tráfego para fins forenses. As vantagens de espelhar o tráfego com TAPs incluem:

  • Os TAPs são baseados em hardware e não podem ser comprometidos

  • Os TAPs passam todo o tráfego, até mesmo mensagens danificadas que muitas vezes são deixadas de lado pelos switches

  • Os TAPs não são sensíveis ao processador, o que significa que o tempo de pacote é exato. Por outro lado, os switches lidam com a funcionalidade de espelhamento como uma tarefa de baixa prioridade, o que pode afetar o tempo dos pacotes espelhados.

Também pode utilizar um agregador TAP para monitorizar as suas portas de tráfego. No entanto, os agregadores TAP não são baseados em processadores e não são tão intrinsecamente seguros quanto os TAPs de hardware. Os agregadores TAP podem não refletir o tempo exato dos pacotes.

Modelos comuns da TAP

Os seguintes modelos TAP foram testados quanto à compatibilidade com o Defender for IoT. Outros fornecedores e modelos também podem ser compatíveis.

  • Garland P1GCCAS

    Ao utilizar uma Garland TAP, certifique-se de que configura a sua rede para suportar a agregação. Para obter mais informações, consulte o diagrama de agregação de toque na guia Diagramas de rede no guia de instalação da Garland.

  • IXIA TPA2-CU3

    Ao usar um Ixia TAP, verifique se o modo de agregação está ativo. Para obter mais informações, consulte o guia de instalação do Ixia.

  • US Robotics USR 4503

    Ao usar um TAP da US Robotics, certifique-se de ativar o modo de agregação definindo o interruptor selecionável como AGG. Para obter mais informações, consulte o guia de instalação da US Robotics.

Portas ERSPAN

Use um analisador de porta comutada remota encapsulada (ERSPAN) para espelhar interfaces de entrada em uma rede IP para a interface de monitoramento do sensor OT, ao proteger redes remotas com o Defender for IoT.

A interface de monitoramento do sensor é uma interface promíscua e não tem um endereço IP especificamente alocado. Quando o suporte a ERSPAN é configurado, as cargas úteis de tráfego encapsuladas ERSPAN com encapsulamento de túnel GRE serão analisadas pelo sensor.

Use o encapsulamento ERSPAN quando houver a necessidade de estender o tráfego monitorado entre domínios da Camada 3. O ERSPAN é um recurso proprietário da Cisco e está disponível apenas em roteadores e switches específicos. Para obter mais informações, consulte a documentação da Cisco.

Nota

Este artigo fornece orientação de alto nível para configurar o espelhamento de tráfego com o ERSPAN. Os detalhes específicos da implementação variam dependendo do fornecedor do seu equipamento.

Arquitetura ERSPAN

As sessões ERSPAN incluem uma sessão de origem e uma sessão de destino configuradas em switches diferentes. Entre os switches de origem e de destino, o tráfego é encapsulado no GRE e pode ser roteado por redes de camada 3.

Por exemplo:

Diagrama de tráfego espelhado de uma rede aerodinâmica ou industrial para um sensor de rede OT usando ERSPAN.

O ERSPAN transporta tráfego espelhado através de uma rede IP usando o seguinte processo:

  1. Um roteador de origem encapsula o tráfego e envia o pacote pela rede.
  2. No roteador de destino, o pacote é descapsulado e enviado para a interface de destino.

As opções de origem ERSPAN incluem elementos como:

  • Portas Ethernet e canais de porta
  • VLANs; todas as interfaces suportadas na VLAN são fontes ERSPAN
  • Canais de porta de malha
  • Portas de satélite e canais de porta de interface de host

Para obter mais informações, consulte Atualizar as interfaces de monitoramento de um sensor (configurar o ERSPAN).

Espelhamento de tráfego com comutadores virtuais

Embora um comutador virtual não tenha recursos de espelhamento, você pode usar o modo promíscuo em um ambiente de comutador virtual como uma solução alternativa para configurar uma porta de monitoramento, semelhante a uma porta SPAN. Uma porta SPAN no switch espelha o tráfego local das interfaces no switch para uma interface diferente no mesmo switch.

Ligue o comutador de destino ao sensor de rede OT para monitorizar o tráfego com o Defender for IoT.

O modo promíscuo é um modo de operação e uma técnica de segurança, monitoramento e administração definida no nível do comutador virtual ou do grupo de portas. Quando o modo promíscuo é usado, qualquer uma das interfaces de rede da máquina virtual no mesmo grupo de portas pode exibir todo o tráfego de rede que passa por esse comutador virtual. Por padrão, o modo promíscuo está desativado.

Para obter mais informações, consulte:

Próximos passos

« Preparar uma implantação de site OT