你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 OT 传感器选择流量镜像方法

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一,介绍了使用 Microsoft Defender for IoT 进行 OT 监视所支持的流量镜像方法。

进度栏的示意图,其中突出显示了“计划和准备”。

决定使用哪种流量镜像方法取决于网络配置和组织的需求。

为确保 Defender for IoT 只分析要监视的流量,我们建议在只包含工业 ICS 和 SCADA 流量的交换机或终端接入点 (TAP) 上配置流量镜像。

注意

SPAN 和 RSPAN 是 Cisco 的术语。 其他品牌的交换机具有类似的功能,但可能使用不同的术语。

镜像端口范围建议

建议在交换机的所有端口中配置流量镜像,即使没有数据连接到这些端口。 否则,恶意设备以后可能会连接到不受监视的端口,并且这些设备不会被 Defender for IoT 网络传感器检测到。

对于使用广播或多播消息的 OT 网络,建议只为 RX(接收)传输配置流量镜像。 多播消息将会在任何相关主动端口中重复传输,并且你将使用更多不必要的带宽。

比较支持的流量镜像方法

Defender for IoT 支持以下方法:

方法 说明 详细信息
交换机 SPAN 端口 将来自交换机上的接口的本地流量镜像到同一交换机上的其他接口 使用交换机 SPAN 端口配置镜像
远程 SPAN (RSPAN) 端口 将多个分布式源端口发出的流量镜像到专用远程 VLAN 中 远程 SPAN (RSPAN) 端口

使用远程 SPAN (RSPAN) 端口配置流量镜像
主动或被动聚合 (TAP) 以内联方式将主动/被动聚合 TAP 安装到网络电缆中,该电缆会将流量复制到 OT 网络传感器。 取证监视的最佳方法。 主动或被动聚合 (TAP)
封装远程交换端口分析器 (ERSPAN) 将输入接口镜像到 OT 传感器的监视接口 ERSPAN 端口

更新传感器的监视接口(配置 ERSPAN)
ESXi vSwitch 在 ESXi vSwitch 上使用混杂模式镜像流量。 使用虚拟交换机进行流量镜像

使用 ESXi vSwitch 配置流量镜像
Hyper-V vSwitch 在 Hyper-V vSwitch 上使用混杂模式镜像流量。 使用虚拟交换机进行流量镜像

使用 Hyper-V vSwitch 配置流量镜像

远程 SPAN (RSPAN) 端口

在交换机上配置远程 SPAN (RSPAN) 会话,将来自多个分布式源端口的流量镜像到专用远程 VLAN。

然后通过汇聚端口跨多个交换机将 VLAN 中的数据传递到包含物理目标端口的特定交换机。 将目标端口连接到 OT 网络传感器,以使用 Defender for IoT 监视流量。

下图显示了远程 VLAN 体系结构的示例:

远程 VLAN 示意图。

有关详细信息,请参阅使用远程 SPAN (RSPAN) 端口配置流量镜像

主动或被动聚合 (TAP)

使用主动或被动聚合来镜像流量时,主动或被动聚合终端接入点 (TAP) 内联安装到网络电缆。 TAP 将接收和传输流量复制到 OT 网络传感器,以便可以使用 Defender for IoT 来监视流量。

TAP 是一种硬件设备,可以让网络流量在端口之间来回流动,而不会中断。 TAP 会连续创建两端的流量流的精确副本,且不会影响网络完整性。

例如:

主动和被动 TAP 示意图。

某些 TAP 会对接收和传输流量进行聚合,具体取决于交换机配置。 如果交换机不支持聚合,则每个 TAP 都会使用 OT 网络传感器上的两个端口来监视接收和传输流量。

使用 TAP 镜像流量的优势

建议使用 TAP,尤其是在为取证目的进行流量镜像时。 使用 TAP 镜像流量的优势包括:

  • TAP 基于硬件,因此不会遭到入侵

  • TAP 传递所有流量,甚至包括交换机经常删除的已损坏的消息

  • TAP 不区分处理器,这意味着数据包计时是精确的。 相比之下,交换机将镜像功能作为低优先级任务进行处理,这可能会影响镜像数据包的计时。

还可以使用 TAP 聚合器监视流量端口。 但是,TAP 聚合器并不基于处理器,且不像硬件 TAP 那样具有固有安全性。 TAP 聚合器可能无法反映确切的数据包计时。

常见 TAP 型号

以下 TAP 型号已通过 Defender for IoT 兼容性测试。 其他供应商和型号也可能兼容。

  • Garland P1GCCAS

    使用 Garland TAP 时,请确保将网络设置为支持聚合。 有关详细信息,请参阅 Garland 安装指南中“网络示意图”选项卡下的“点击聚合”示意图。

  • IXIA TPA2-CU3

    使用 Ixia TAP 时,请确保“聚合模式”处于活动状态。 有关详细信息,请参阅 Ixia 安装指南

  • US Robotics USR 4503

    使用 US Robotics TAP 时,请确保通过将可选开关设置为 AGG,将聚合模式的开关切换为“开”。 有关详细信息,请参阅 US Robotics 安装指南

ERSPAN 端口

在使用 Defender for IoT 保护远程网络时,使用封装的远程交换端口分析器 (ERSPAN) 将 IP 网络上的输入接口镜像到 OT 传感器的监视接口。

传感器的监视接口为混杂接口,没有专门分配的 IP 地址。 配置 ERSPAN 支持后,传感器将分析使用 GRE 隧道封装技术进行 ERSPAN 封装的流量有效负载。

如果需要跨第 3 层域扩展监视的流量,请使用 ERSPAN 封装。 ERSPAN 为 Cisco 的专有功能,仅在特定路由器和交换机上可用。 有关详细信息,请参阅 Cisco 文档

注意

本文提供 使用 ERSPAN 配置流量镜像 的高级别指南。 具体实现过程详细信息将因设备供应商而异。

ERSPAN 体系结构

ERSPAN 会话包括在不同交换机上配置的源会话和目标会话。 在源交换机和目标交换机之间,流量封装在 GRE 中,可以通过第 3 层网络进行路由。

例如:

使用 ERSPAN 将流量从安全隔离网络或工业网络镜像到 OT 网络传感器的示意图。

ERSPAN 使用以下过程通过 IP 网络传输镜像流量:

  1. 源路由器封装流量并通过网络发送数据包。
  2. 数据包将在目标路由器上解封装并发送到目标接口。

ERSPAN 源选项包括以下元素:

  • 以太网端口和端口通道
  • VLAN;VLAN 中所有支持的接口均为 ERSPAN 源
  • 构造端口通道
  • 附属端口和主机接口端口通道

有关详细信息,请参阅更新传感器的监视接口(配置 ERSPAN)

使用虚拟交换机进行流量镜像

虽然虚拟交换机没有镜像功能,但你可以在虚拟交换机环境中使用“混杂模式”作为配置类似于 SPAN 端口的监视端口的解决方法。 交换机上的 SPAN 端口会将本地流量从交换机上的接口镜像到同一交换机上的其他接口。

将目标交换机连接到 OT 网络传感器,以使用 Defender for IoT 监视流量。

混杂模式是一种操作模式,也是一种在虚拟交换机或端口组级别定义的安全、监视和管理方法。 使用混杂模式后,同一端口组中的虚拟机网络接口可查看通过该虚拟交换机的所有网络流量。 混杂模式默认处于关闭状态。

有关详细信息,请参阅:

后续步骤