Visão geral do espelhamento de tráfego
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT e fornece uma visão geral dos procedimentos para configurar o espelhamento de tráfego em sua rede.
Pré-requisitos
Antes de configurar o espelhamento de tráfego, certifique-se de que você decidiu sobre os locais do sensor e o método de espelhamento de tráfego.
Localização do sensor
Identifique o melhor local para colocar o sensor na rede, para monitorar o tráfego de rede e fornecer a melhor descoberta e valor de segurança possível. A localização deve dar ao sensor acesso aos seguintes três tipos importantes de tráfego de rede:
| Tipo | Description |
|---|---|
| Tráfego de camada 2 (L2) | O tráfego L2, que inclui protocolos como ARP e DHCP, é um indicador crítico do posicionamento do sensor. Acessar o tráfego L2 também significa que o sensor pode coletar dados precisos e valiosos sobre os dispositivos da rede. Quando um sensor está posicionado corretamente, ele captura com precisão os endereços MAC dos dispositivos. Essas informações vitais fornecem indicadores do fornecedor, o que aumenta a capacidade do sensor de classificar dispositivos. |
| Protocolos OT | Os protocolos OT são essenciais para extrair informações detalhadas sobre dispositivos dentro da rede. Esses protocolos fornecem dados cruciais que levam a uma classificação precisa do dispositivo. Ao analisar o tráfego do protocolo OT, o sensor pode reunir detalhes abrangentes sobre cada dispositivo, como seu modelo, versão de firmware e outras características relevantes. Este nível de detalhe é necessário para manter um inventário preciso e atualizado de todos os dispositivos, o que é crucial para a gestão e segurança da rede. |
| Comunicação de sub-rede interna | Os dispositivos de redes OT se comunicam dentro de uma sub-rede, e as informações encontradas dentro da comunicação interna da sub-rede garantem a qualidade dos dados coletados pelos sensores. Os sensores são colocados onde eles têm acesso à comunicação interna da sub-rede, a fim de monitorar as interações do dispositivo, que muitas vezes incluem dados críticos. Ao capturar esses pacotes de dados, os sensores constroem uma imagem detalhada e precisa da rede. |
Para obter mais informações, consulte a colocação de sensores OT na sua rede.
Métodos de espelhamento de tráfego
Há três tipos de métodos de espelhamento de tráfego, cada um projetado para cenários de uso específicos. Escolha o melhor método com base no uso e tamanho da sua rede.
| Tipo de espelhamento | Analisador de porta comutada (SPAN) | SPAN remoto (RSPAN) | SPAN remoto encapsulado (ERSPAN) |
|---|---|---|---|
| Cenário de uso | Ideal para monitorar e analisar o tráfego dentro de um único switch ou um pequeno segmento de rede. | Adequado para redes maiores ou cenários onde o tráfego precisa ser monitorado em diferentes segmentos de rede. | Ideal para monitorizar o tráfego em redes diversas ou geograficamente dispersas, incluindo locais remotos. |
| Descrição | SPAN é uma técnica de espelhamento de tráfego local usada dentro de um único switch ou uma pilha de switch. Ele permite que os administradores de rede dupliquem o tráfego de portas de origem ou VLANs especificadas para uma porta de destino onde o dispositivo de monitoramento, como um sensor ou analisador de rede, está conectado. | O RSPAN amplia os recursos do SPAN permitindo que o tráfego seja espelhado em vários switches. Ele foi projetado para ambientes onde o monitoramento precisa ocorrer em diferentes switches ou pilhas de switches. | O ERSPAN leva o RSPAN um passo adiante, encapsulando o tráfego espelhado em pacotes GRE (Generic Routing Encapsulation). Esse método permite o espelhamento de tráfego em diferentes segmentos de rede ou até mesmo na Internet. |
| Configuração de espelhamento | - Portas/VLANs de origem: configure o switch para espelhar o tráfego de portas ou VLANs selecionadas. - Porta de destino: o tráfego espelhado é enviado para uma porta designada no mesmo switch. Esta porta está ligada ao seu dispositivo de monitorização. |
- Portas/VLANs de origem: o tráfego é espelhado de portas de origem ou VLANs especificadas em um switch de origem. - VLAN RSPAN: O tráfego espelhado é enviado para uma VLAN RSPAN especial que abrange vários switches. - Porta de destino: O tráfego é então extraído desta VLAN RSPAN em uma porta designada em um switch remoto onde o dispositivo de monitoramento está conectado. |
- Portas de origem/VLANs: semelhante ao SPAN e ao RSPAN, o tráfego é espelhado a partir de portas de origem ou VLANs especificadas. - Encapsulamento: O tráfego espelhado é encapsulado em pacotes GRE, que podem ser roteados através de redes IP. - Porta de destino: O tráfego encapsulado é enviado para um dispositivo de monitoramento conectado a uma porta de destino onde os pacotes GRE são descapsulados e analisados. |
| Benefícios | - Simplicidade: Fácil de configurar e gerir. - Baixa latência: Como está confinado a um único switch, introduz um atraso mínimo. |
- Cobertura estendida: Permite o monitoramento em vários switches. - Flexibilidade: Pode ser usado para monitorar o tráfego de diferentes partes da rede. |
- Ampla cobertura: Permite o monitoramento em diferentes redes IP e locais. - Flexibilidade: Pode ser usado em cenários onde o tráfego precisa ser monitorado em longas distâncias ou através de caminhos de rede complexos. |
| Limitações | Âmbito local: Limitado à monitorização dentro do mesmo comutador, o que pode não ser suficiente para redes maiores. | Carga de rede: aumenta potencialmente a carga na rede devido ao tráfego de VLAN RSPAN. |
Ao selecionar um método de espelhamento, considere também os seguintes fatores:
| Fatores | Description |
|---|---|
| Tamanho e layout da rede | - SPAN é adequado para monitoramento local. - RSPAN para ambientes maiores e multi-switch - ERSPAN para redes geograficamente dispersas ou complexas. |
| Volume de tráfego | Certifique-se de que o método escolhido pode lidar com o volume de tráfego sem introduzir latência significativa ou carga de rede. |
| Necessidades de Monitorização | Determine se o tráfego é capturado localmente ou em diferentes segmentos de rede e escolha o método apropriado. |
Processos de espelhamento de tráfego
Use um dos seguintes procedimentos para configurar o espelhamento de tráfego na rede:
Portas SPAN:
- Configurar o espelhamento com uma porta SPAN do switch
- Configurar o espelhamento de tráfego com uma porta RSPAN (Remote SPAN)
- Atualizar as interfaces de monitoramento de um sensor (configurar ERSPAN)
Comutadores virtuais:
- Configurar o espelhamento de tráfego com um ESXi vSwitch
- Configurar o espelhamento de tráfego com um vSwitch Hyper-V
O Defender for IoT também suporta espelhamento de tráfego com configurações TAP. Para obter mais informações, consulte Agregação ativa ou passiva (TAP).