Поделиться через

Выбор метода зеркального отображения трафика для датчиков OT

  • Статья

Эта статья содержит одну из рядов статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей, и описывает поддерживаемые методы зеркального отображения трафика для мониторинга OT с помощью Microsoft Defender для Интернета вещей.

Схема индикатора выполнения с выделенным планом и подготовкой.

Решение о том, какой метод зеркального отображения трафика следует использовать, зависит от конфигурации сети и потребностей вашей организации.

Чтобы Защитник для Интернета вещей только анализирует трафик, который требуется отслеживать, рекомендуется настроить зеркальное отображение трафика на коммутаторе или точке доступа терминала (TAP), которая включает только промышленный трафик ICS и SCADA.

Примечание.

SPAN и RSPAN являются терминологией Cisco. Другие торговые марки коммутаторов имеют схожие функциональные возможности, но могут использовать другую терминологию.

Рекомендации по области области портов зеркального отображения

Мы рекомендуем настроить зеркальное отображение трафика со всех портов коммутатора, даже если к ним не подключены данные. Если вы этого не сделали, устройства-изгои позже могут быть подключены к неистоимому порту, и эти устройства не будут обнаружены сетевыми датчиками Defender для Интернета вещей.

Для сетей OT, использующих широковещательный или многоадресный обмен сообщениями, настройте зеркальное отображение трафика только для передачИ RX (Получение). Сообщения многоадресной рассылки будут повторяться для любых активных портов, и вы будете использовать больше пропускной способности без необходимости.

Сравнение поддерживаемых методов зеркального отображения трафика

Defender для Интернета вещей поддерживает следующие методы:

Метод Description Дополнительные сведения
Переключение порта SPAN Зеркально отражает локальный трафик от интерфейсов на коммутаторе к другому интерфейсу в том же коммутаторе. Настройка зеркального отображения с помощью порта SPAN коммутатора
Удаленный порт SPAN (RSPAN) Зеркальное отображение трафика из нескольких распределенных исходных портов в выделенную удаленную виртуальную локальную сеть Удаленные порты SPAN (RSPAN)

Настройка зеркального отображения трафика с помощью порта Remote SPAN (RSPAN)
Активное или пассивное агрегирование (TAP) Устанавливает встроенный или пассивный агрегат TAP в сетевой кабель, который дублирует трафик на сетевой датчик OT. Лучший метод для мониторинга судебной экспертизы. Активное или пассивное агрегирование (TAP)
Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) Зеркально отражает интерфейсы входных данных для интерфейса мониторинга датчика OT Порты ERSPAN

Обновите интерфейсы мониторинга датчика (настройте ERSPAN).
ESXi vSwitch Зеркальное отображение трафика с помощью простого режима в ESXi vSwitch. Зеркальное отображение трафика с помощью виртуальных коммутаторов

Настройте зеркальное отображение трафика с помощью ESXi vSwitch.
VSwitch Hyper-V Зеркальное отображение трафика с помощью простого режима в Hyper-V vSwitch. Зеркальное отображение трафика с помощью виртуальных коммутаторов

Настройка зеркального отображения трафика с помощью vSwitch Hyper-V

Удаленные порты SPAN (RSPAN)

Настройте удаленный сеанс SPAN (RSPAN) на коммутаторе для зеркального трафика из нескольких распределенных исходных портов в выделенную удаленную виртуальную локальную локальную сеть.

Затем данные в виртуальной локальной сети передаются через магистральные порты через несколько коммутаторов на указанный коммутатор, содержащий физический порт назначения. Подключите порт назначения к сетевому датчику OT для мониторинга трафика с помощью Defender для Интернета вещей.

На следующей схеме показан пример архитектуры удаленной виртуальной локальной сети.

Схема удаленной виртуальной ЛС.

Дополнительные сведения см. в разделе "Настройка зеркального отображения трафика" с помощью порта REMOTE SPAN (RSPAN).

Активное или пассивное агрегирование (TAP)

При использовании активной или пассивной агрегирования для зеркального трафика точка доступа терминала активной или пассивной агрегирования устанавливается встроенный сетевой кабель. TAP дублирует трафик получения и передачи в датчик сети OT, чтобы отслеживать трафик с помощью Defender для Интернета вещей.

TAP — это аппаратное устройство, которое позволяет сетевому трафику передаваться обратно и вперед между портами без прерывания. TAP создает точную копию обеих сторон потока трафика без ущерба для целостности сети.

Например:

Схема активных и пассивных TAP.

Некоторые TAPs агрегируют как получение, так и передачу в зависимости от конфигурации коммутатора. Если переключатель не поддерживает агрегирование, каждый TAP использует два порта на сетевом датчике OT для мониторинга трафика приема и передачи .

Преимущества зеркального отображения трафика с помощью TAP

Мы рекомендуем использовать TAP особенно при зеркальных отображениях трафика для судебно-медицинских целей. Преимущества зеркального отображения трафика с использованием TAP:

  • В основе TAP лежит оборудование, и их нельзя скомпрометировать

  • TAPs передает весь трафик, даже поврежденные сообщения, которые часто удаляются коммутаторами

  • TAPs не учитывает процессор, что означает, что сроки пакетов точны. В отличие от этого, переключатели обрабатывают функции зеркального отображения в качестве низкоприоритетной задачи, которая может повлиять на время зеркальных пакетов.

Вы также можете использовать агрегат TAP для мониторинга портов трафика. Тем не менее агрегаты TAP не основаны на процессорах и не являются столь же безопасными, как аппаратные TAPs. Агрегаты TAP могут не отражать точное время выполнения пакетов.

Распространенные модели TAP

Следующие модели TAP протестированы на совместимость с Defender для Интернета вещей. Другие модели и модели от других поставщиков также могут быть совместимыми.

  • Гарленд P1GCCAS

    При использовании Garland TAP убедитесь, что сеть настроена для поддержки агрегирования. Дополнительные сведения см. на вкладке "Диаграммы сети" на вкладке "Диаграммы сети" в руководстве по установке Garland.

  • IXIA TPA2-CU3

    При использовании Ixia TAP убедитесь, что режим агрегирования активен. Дополнительные сведения см. в руководстве по установке Ixia.

  • US Robotics USR 4503

    При использовании US Robotics TAP обязательно переключите режим агрегирования, задав для параметра AGG переключатель, доступный для выбора. Дополнительные сведения см. в руководстве по установке роботов США.

Порты ERSPAN

Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) используется для зеркального отображения интерфейсов ввода через IP-сеть в интерфейс мониторинга датчика OT при защите удаленных сетей с помощью Defender для Интернета вещей.

Интерфейс мониторинга датчика является неразрешительным интерфейсом и не имеет специально выделенного IP-адреса. При настройке поддержки ERSPAN полезные данные трафика, инкапсулированные с помощью туннеля GRE, будут анализироваться датчиком.

Инкапсуляция ERSPAN, если необходимо расширить отслеживаемый трафик через домены уровня 3. ERSPAN — это собственная функция Cisco и доступна только на определенных маршрутизаторах и коммутаторах. Дополнительные сведения см. в документации по Cisco.

Примечание.

В этой статье приведены общие рекомендации по настройке зеркального отображения трафика с помощью ERSPAN. Конкретные сведения о реализации зависят от поставщика оборудования.

Архитектура ERSPAN

Сеансы ERSPAN включают исходный сеанс и конечный сеанс, настроенный на различных коммутаторах. Между коммутаторами источника и назначения трафик инкапсулируется в GRE и может направляться через сети уровня 3.

Например:

Схема трафика, зеркального отображения от воздушного или промышленного сетевого датчика OT с помощью ERSPAN.

ERSPAN передает зеркальный трафик через IP-сеть с помощью следующего процесса:

  1. Исходный маршрутизатор инкапсулирует трафик и отправляет пакет по сети.
  2. На целевом маршрутизаторе пакет удаляется и отправляется в конечный интерфейс.

Параметры источника ERSPAN включают такие элементы, как:

  • Порты Ethernet и каналы портов
  • Виртуальные локальные сети; все поддерживаемые интерфейсы в виртуальной локальной сети являются источниками ERSPAN
  • Каналы портов Fabric
  • Спутниковые порты и каналы портов интерфейса узла

Дополнительные сведения см. в разделе "Обновление интерфейсов мониторинга датчика" (настройка ERSPAN).

Зеркальное отображение трафика с помощью виртуальных коммутаторов

Хотя виртуальный коммутатор не имеет возможностей зеркального отображения, вы можете использовать простой режим в виртуальной среде коммутатора в качестве обходного решения для настройки порта мониторинга, аналогичного порту SPAN. Порт SPAN на коммутаторе зеркально отражает локальный трафик из интерфейсов на коммутаторе на другой интерфейс в том же коммутаторе.

Подключите целевой коммутатор к сетевому датчику OT для мониторинга трафика с помощью Defender для Интернета вещей.

Неизбирательный режим — это режим работы, а также метод безопасности, мониторинга и администрирования, который определен на уровне виртуального коммутатора или группы портов. При использовании неизбирательного режима любой из сетевых интерфейсов виртуальной машины, находящихся в одной группе портов, может просматривать весь сетевой трафик, проходящий через этот виртуальный коммутатор. По умолчанию неизбирательный режим отключен.

Дополнительные сведения см. в разделе:

Следующие шаги

"Подготовка развертывания сайта OT