Översikt över trafikspegling
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT och ger en översikt över procedurerna för att konfigurera trafikspegling i nätverket.
Förutsättningar
Innan du konfigurerar trafikspegling kontrollerar du att du har bestämt dig för dina sensorplatser och trafikspeglingsmetoden.
Sensorplats
Identifiera den bästa platsen för att placera sensorn i nätverket, för att övervaka nätverkstrafiken och ge bästa möjliga identifierings- och säkerhetsvärde. Platsen bör ge sensorn åtkomst till följande tre viktiga typer av nätverkstrafik:
| Typ | Beskrivning |
|---|---|
| Layer 2-trafik (L2) | L2-trafik, som innehåller protokoll som ARP och DHCP, är en kritisk indikator på sensorns placering. Åtkomst till L2-trafik innebär också att sensorn kan samla in exakta och värdefulla data om nätverkets enheter. När en sensor är korrekt placerad avbildar den enheternas MAC-adresser korrekt. Den här viktiga informationen ger leverantörsindikatorer, vilket förbättrar sensorns förmåga att klassificera enheter. |
| OT-protokoll | OT-protokoll är viktiga för att extrahera detaljerad information om enheter i nätverket. Dessa protokoll ger viktiga data som leder till korrekt enhetsklassificering. Genom att analysera OT-protokolltrafik kan sensorn samla in omfattande information om varje enhet, till exempel dess modell, version av inbyggd programvara och andra relevanta egenskaper. Den här detaljnivån är nödvändig för att upprätthålla en korrekt och uppdaterad inventering av alla enheter, vilket är avgörande för nätverkshantering och säkerhet. |
| Inre undernätskommunikation | OT-nätverksenheter kommunicerar i ett undernät och den information som finns i den inre undernätskommunikationen säkerställer kvaliteten på de data som samlas in av sensorerna. Sensorer placeras där de har åtkomst till den inre undernätskommunikationen för att övervaka enhetsinteraktioner, som ofta innehåller kritiska data. Genom att samla in dessa datapaket skapar sensorerna en detaljerad och korrekt bild av nätverket. |
Mer information finns i placera OT-sensorer i nätverket.
Metoder för trafikspegling
Det finns tre typer av trafikspeglingsmetoder som var och en är utformade för specifika användningsscenarier. Välj den bästa metoden baserat på nätverkets användning och storlek.
| Speglingstyp | Växlad portanalys (SPAN) | Remote SPAN (RSPAN) | Inkapslad fjärr-SPAN (ERSPAN) |
|---|---|---|---|
| Användningsscenario | Perfekt för övervakning och analys av trafik inom en enda växel eller ett litet nätverkssegment. | Lämpar sig för större nätverk eller scenarier där trafiken måste övervakas över olika nätverkssegment. | Perfekt för att övervaka trafik över olika eller geografiskt spridda nätverk, inklusive fjärranslutna platser. |
| Beskrivning | SPAN är en lokal trafikspeglingsteknik som används inom en enda växel eller en växelstack. Det gör att nätverksadministratörer kan duplicera trafik från angivna källportar eller VLAN till en målport där övervakningsenheten, till exempel en nätverkssensor eller analysator, är ansluten. | RSPAN utökar funktionerna i SPAN genom att tillåta att trafik speglas över flera växlar. Den är utformad för miljöer där övervakning måste ske över olika växlar eller växelstackar. | ERSPAN tar RSPAN ett steg längre genom att kapsla in speglad trafik i GRE-paket (Generic Routing Encapsulation). Den här metoden möjliggör trafikspegling mellan olika nätverkssegment eller till och med över Internet. |
| Speglingsuppsättning | - Källportar/VLAN: Konfigurera växeln för att spegla trafik från valda portar eller VLAN. - Målport: Den speglade trafiken skickas till en angiven port på samma växel. Den här porten är ansluten till din övervakningsenhet. |
- Källportar/VLAN: Trafiken speglas från angivna källportar eller VLAN på en källväxel. - RSPAN VLAN: Den speglade trafiken skickas till ett särskilt RSPAN VLAN som sträcker sig över flera växlar. - Målport: Trafiken extraheras sedan från detta RSPAN VLAN på en angiven port på en fjärrbrytare där övervakningsenheten är ansluten. |
- Källportar/VLAN: På samma sätt som SPAN och RSPAN speglas trafiken från angivna källportar eller VLAN. - Inkapsling: Den speglade trafiken kapslas in i GRE-paket, som sedan kan dirigeras över IP-nätverk. - Målport: Den inkapslade trafiken skickas till en övervakningsenhet som är ansluten till en målport där GRE-paketen kapslas in och analyseras. |
| Fördelar | – Enkelhet: Lätt att konfigurera och hantera. – Låg svarstid: Eftersom den är begränsad till en enda växel medför den minimal fördröjning. |
– Utökad täckning: Tillåter övervakning över flera växlar. – Flexibilitet: Kan användas för att övervaka trafik från olika delar av nätverket. |
– Bred täckning: Möjliggör övervakning över olika IP-nätverk och platser. – Flexibilitet: Kan användas i scenarier där trafiken måste övervakas över långa sträckor eller via komplexa nätverksvägar. |
| Begränsningar | Lokalt omfång: Begränsat till övervakning inom samma växel, vilket kanske inte räcker för större nätverk. | Nätverksbelastning: Potentiellt ökar belastningen på nätverket på grund av RSPAN VLAN-trafiken. |
När du väljer en speglingsmetod bör du även tänka på följande faktorer:
| Faktorer | beskrivning |
|---|---|
| Nätverksstorlek och layout | - SPAN lämpar sig för lokal övervakning. – RSPAN för större miljöer med flera växlar - ERSPAN för geografiskt spridda eller komplexa nätverk. |
| Trafikvolym | Se till att den valda metoden kan hantera trafikvolymen utan betydande svarstid eller nätverksbelastning. |
| Övervakningsbehov | Kontrollera om trafiken samlas in lokalt eller mellan olika nätverkssegment och välj lämplig metod. |
Processer för trafikspegling
Använd någon av följande procedurer för att konfigurera trafikspegling i nätverket:
SPAN-portar:
- Konfigurera spegling med en SWITCH SPAN-port
- Konfigurera trafikspegling med en RSPAN-port (Remote SPAN)
- Uppdatera en sensors övervakningsgränssnitt (konfigurera ERSPAN)
Virtuella växlar:
Defender för IoT stöder även trafikspegling med TAP-konfigurationer. Mer information finns i Aktiv eller passiv aggregering (TAP).