Sdílet prostřednictvím


Volba metody zrcadlení provozu pro senzory OT

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defender pro IoT a popisuje podporované metody zrcadlení provozu pro monitorování OT s Microsoft Defender pro IoT.

Diagram indikátoru průběhu se zvýrazněnou možností Plánování a příprava

Rozhodnutí o tom, jakou metodu zrcadlení provozu použít, závisí na konfiguraci sítě a potřebách vaší organizace.

Pokud chcete zajistit, aby Defender for IoT analyzoval jenom provoz, který chcete monitorovat, doporučujeme nakonfigurovat zrcadlení provozu na přepínači nebo koncovém přístupovém bodu (TAP), který zahrnuje pouze provoz průmyslového ICS a SCADA.

Poznámka

SPAN a RSPAN jsou terminologie cisco. Jiné značky přepínačů mají podobné funkce, ale můžou používat jinou terminologii.

Doporučení k rozsahu portů zrcadlení

Doporučujeme nakonfigurovat zrcadlení provozu ze všech portů přepínače, i když k nim nejsou připojená žádná data. Pokud to neuděláte, můžou být podvodná zařízení později připojená k nemonitorovaným portům a síťové senzory Defenderu for IoT tato zařízení nezjistí.

Pro sítě OT, které používají vysílání nebo vícesměrové zasílání zpráv, nakonfigurujte zrcadlení provozu pouze pro přenosy RX (receive). Zprávy vícesměrového vysílání se budou opakovat pro všechny relevantní aktivní porty a zbytečně budete využívat větší šířku pásma.

Porovnání podporovaných metod zrcadlení provozu

Defender for IoT podporuje následující metody:

Metoda Popis Další informace
Port SPAN přepínače Zrcadlí místní provoz z rozhraní na přepínači do jiného rozhraní na stejném přepínači. Konfigurace zrcadlení s portem SPAN přepínače
Vzdálený port SPAN (RSPAN) Zrcadlí provoz z několika distribuovaných zdrojových portů do vyhrazené vzdálené sítě VLAN. Porty REMOTE SPAN (RSPAN)

Konfigurace zrcadlení provozu pomocí portu RSPAN (Remote SPAN)
Aktivní nebo pasivní agregace (TAP) Nainstaluje aktivní/pasivní agregaci TAP vloženou do síťového kabelu, který duplikuje provoz do síťového senzoru OT. Nejlepší metoda forenzního monitorování Aktivní nebo pasivní agregace (TAP)
Zapouzdřený analyzátor vzdálených přepínaných portů (ERSPAN) Zrcadlí vstupní rozhraní do monitorovacího rozhraní senzoru OT. Porty ERSPAN

Aktualizace monitorovacích rozhraní senzoru (konfigurace ERSPAN)
Přepínač ESXi vSwitch Zrcadlí provoz pomocí režimu Promiskuit na přepínači ESXi vSwitch. Zrcadlení provozu pomocí virtuálních přepínačů

Nakonfigurujte zrcadlení provozu pomocí virtuálního přepínače ESXi.
Virtuální přepínač Hyper-V Zrcadlí provoz pomocí režimu promiskuitní na virtuálním přepínači Hyper-V. Zrcadlení provozu pomocí virtuálních přepínačů

Konfigurace zrcadlení provozu pomocí virtuálního přepínače Hyper-V

Porty REMOTE SPAN (RSPAN)

Nakonfigurujte na přepínači vzdálenou relaci SPAN (RSPAN), která bude zrcadlit provoz z několika distribuovaných zdrojových portů do vyhrazené vzdálené sítě VLAN.

Data ve virtuální síti VLAN se pak doručují prostřednictvím zřetězených portů přes více přepínačů do zadaného přepínače, který obsahuje fyzický cílový port. Připojte cílový port k síťovému senzoru OT za účelem monitorování provozu pomocí Defenderu for IoT.

Následující diagram znázorňuje příklad architektury vzdálené sítě VLAN:

Diagram vzdálené sítě VLAN

Další informace najdete v tématu Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN).

Aktivní nebo pasivní agregace (TAP)

Při použití aktivní nebo pasivní agregace k zrcadlení provozu se aktivní nebo pasivní koncový přístupový bod agregace (TAP) instaluje přímo do síťového kabelu. Funkce TAP duplikuje příjem a přenos provozu do síťového senzoru OT, takže ho můžete monitorovat pomocí Defenderu for IoT.

TAP je hardwarové zařízení, které umožňuje tok síťového provozu tam a zpět mezi porty bez přerušení. Tap vytváří přesnou kopii obou stran toku provozu, nepřetržitě, aniž by došlo k ohrožení integrity sítě.

Příklad:

Diagram aktivních a pasivních tap

Některé programy TAP agregují v závislosti na konfiguraci přepínače jak příjem , tak přenos. Pokud váš přepínač agregaci nepodporuje, používá každý tap dva porty na síťovém senzoru OT ke sledování provozu příjmu a přenosu .

Výhody zrcadlení provozu pomocí tap

Protokoly TAP doporučujeme zejména při zrcadlení provozu pro forenzní účely. Mezi výhody zrcadlení provozu s tapky patří:

  • Tapky jsou založené na hardwaru a nelze je ohrozit.

  • TaPs projdou veškerý provoz, a to i poškozené zprávy, které jsou často vyřazeny přepínači

  • Tapky nejsou citlivé na procesor, což znamená, že načasování paketů je přesné. Naproti tomu přepínače zpracovávají funkci zrcadlení jako úlohu s nízkou prioritou, což může mít vliv na načasování zrcadlených paketů.

K monitorování přenosových portů můžete použít také Agregátor TAP. Agregátory TAP ale nejsou založené na procesoru a nejsou tak vnitřně zabezpečené jako hardwarové tapky. Agregátory TAP nemusí odrážet přesné načasování paketů.

Běžné modely TAP

Následující modely TAP byly testovány z důvodu kompatibility s Defenderem for IoT. Kompatibilní můžou být i jiní dodavatelé a modely.

  • Garland P1GCCAS

    Pokud používáte Garland TAP, nezapomeňte nastavit síť tak, aby podporovala agregaci. Další informace najdete v diagramu Agregace tap na kartě Síťové diagramy v průvodci instalací Garland.

  • IXIA TPA2-CU3

    Pokud používáte Ixia TAP, ujistěte se, že je aktivní režim agregace . Další informace najdete v průvodci instalací Ixia.

  • US Robotics USR 4503

    Pokud používáte US Robotics TAP, nezapomeňte zapnout režim agregace nastavením přepínače, který lze vybrat, na AGG. Další informace najdete v průvodci instalací US Robotics.

Porty ERSPAN

Při zabezpečení vzdálených sítí pomocí Defenderu for IoT použijte zapouzdřený analyzátor portů (ERSPAN) k zrcadlení vstupních rozhraní přes síť IP do monitorovacího rozhraní senzoru OT.

Monitorovací rozhraní senzoru je promiskuitní rozhraní a nemá konkrétně přidělenou IP adresu. Při konfiguraci podpory ERSPAN budou senzorem analyzovány datové části provozu zapouzdřené tunelem GRE.

Zapouzdření ERSPAN použijte v případech, kdy je potřeba rozšířit monitorovaný provoz napříč doménami vrstvy 3. ERSPAN je proprietární funkce cisco a je k dispozici pouze na konkrétních směrovačích a přepínačích. Další informace najdete v dokumentaci společnosti Cisco.

Poznámka

Tento článek obsahuje základní pokyny ke konfiguraci zrcadlení provozu pomocí ERSPAN. Konkrétní podrobnosti implementace se budou lišit v závislosti na dodavateli vybavení.

Architektura ERSPAN

Relace ERSPAN zahrnují zdrojovou a cílovou relaci nakonfigurovanou na různých přepínačích. Mezi zdrojovými a cílovými přepínači je provoz zapouzdřen v gre a je možné ho směrovat přes sítě vrstvy 3.

Příklad:

Diagram provozu zrcadlícího se ze vzduchové nebo průmyslové sítě do síťového senzoru OT pomocí ERSPAN

ERSPAN přenáší zrcadlený provoz přes síť IP pomocí následujícího procesu:

  1. Zdrojový směrovač zapouzdřuje provoz a odesílá paket přes síť.
  2. V cílovém směrovači je paket de-capsulated a odeslán do cílového rozhraní.

Možnosti zdroje ERSPAN zahrnují prvky, jako jsou:

  • Ethernetové porty a kanály portů
  • Vlan; všechna podporovaná rozhraní v síti VLAN jsou zdroji ERSPAN.
  • Kanály portů prostředků infrastruktury
  • Satelitní porty a kanály portů rozhraní hostitele

Další informace najdete v tématu Aktualizace rozhraní pro monitorování senzoru (konfigurace ERSPAN).

Zrcadlení provozu pomocí virtuálních přepínačů

I když virtuální přepínač nemá možnosti zrcadlení, můžete použít režim Promiskuits v prostředí virtuálního přepínače jako alternativní řešení pro konfiguraci portu pro monitorování, podobně jako u portu SPAN. Port SPAN na vašem přepínači zrcadlí místní provoz z rozhraní na přepínači do jiného rozhraní na stejném přepínači.

Připojte cílový přepínač k síťovému senzoru OT za účelem monitorování provozu pomocí Defenderu for IoT.

Promiskuitní režim je režim provozu a technika zabezpečení, monitorování a správy, která je definovaná na úrovni virtuálního přepínače nebo skupiny portů. Při použití promiskuitního režimu může jakékoli síťové rozhraní virtuálního počítače ve stejné skupině portů zobrazit veškerý síťový provoz, který prochází tímto virtuálním přepínačem. Ve výchozím nastavení je promiskuitní režim vypnutý.

Další informace naleznete v tématu:

Další kroky