Compartir a través de


Configurar la creación de reflejo del puerto

Se aplica a: Advanced Threat Analytics versión 1.9

Nota:

Este artículo solo es relevante si implementa puertas de enlace de ATA en lugar de puertas de enlace ligeras de ATA. Para determinar si necesita usar puertas de enlace de ATA, consulte Elección de las puertas de enlace adecuadas para la implementación.

El origen de datos principal utilizado por ATA es una inspección profunda de paquetes del tráfico de red hacia y desde los controladores de dominio. Para que ATA vea el tráfico de red, debe configurar la creación de reflejo del puerto o usar un TAP de red.

En la creación de reflejo del puerto, configure la creación de reflejo del puerto para cada controlador de dominio que se va a supervisar, como origen del tráfico de red. Normalmente, debe trabajar con el equipo de redes o virtualización para configurar la creación de reflejo del puerto. Para obtener más información, consulte la documentación del proveedor.

Los controladores de dominio y las puertas de enlace de ATA pueden ser físicos o virtuales. Los siguientes son métodos habituales para la creación de reflejo del puerto y algunas consideraciones. Para obtener más información, consulte la documentación de producto del conmutador o del servidor de virtualización. El fabricante del conmutador puede usar terminología diferente.

Analizador de puertos conmutado (SPAN): copia el tráfico de red de uno o varios puertos de conmutador a otro puerto de conmutador en el mismo conmutador. Tanto la puerta de enlace de ATA como los controladores de dominio deben estar conectados al mismo conmutador físico.

Analizador de puertos de conmutador remoto (RSPAN): permite supervisar el tráfico de red desde puertos de origen distribuidos a través de varios conmutadores físicos. El RSPAN copia el tráfico de origen en una VLAN especial configurada para el RSPAN. Esta VLAN debe configurarse en modo de tronco con respecto a los demás conmutadores implicados. El RSPAN funciona en la capa 2.

Analizador de puertos de conmutador remoto encapsulado (ERSPAN): es una tecnología en propiedad de Cisco que trabaja en la capa 3. El ERSPAN permite supervisar el tráfico entre conmutadores sin necesidad de usar el modo de tronco de VLAN. El ERSPAN usa la encapsulación de enrutamiento genérica (GRE) para copiar el tráfico de red supervisado. Actualmente, ATA no puede recibir tráfico del ERSPAN directamente. Para que ATA funcione con el tráfico del ERSPAN, es necesario configurar un conmutador o enrutador que pueda desencapsular el tráfico como destino del ERSPAN donde se desencapsula el tráfico. Después, configure el conmutador o enrutador para reenviar el tráfico desencapsulado a la puerta de enlace de ATA con el SPAN o el RSPAN.

Nota:

Si el controlador de dominio que se está reflejando en el puerto está conectado a través de un vínculo WAN, asegúrese de que el vínculo WAN pueda encargarse de la carga adicional del tráfico del ERSPAN. ATA solo admite la supervisión del tráfico cuando el tráfico llega a la NIC y al controlador de dominio de la misma manera. ATA no admite la supervisión del tráfico cuando el tráfico se divide en puertos diferentes.

Opciones de creación de reflejo del puerto admitidas

Puerta de enlace de ATA Controlador de dominio Consideraciones
Virtual Virtual en el mismo host El conmutador virtual debe admitir la creación de reflejo del puerto.

Mover una de las máquinas virtuales a otro host por sí misma puede interrumpir la creación de reflejo del puerto.
Virtual Virtual en distintos hosts Asegúrese de que el conmutador virtual admite este escenario.
Virtual Físico Requiere un adaptador de red dedicado; de lo contrario, ATA verá todo el tráfico que entra y sale del host, incluso el tráfico que envía al Centro de ATA.
Físico Virtual Asegúrese de que el conmutador virtual admite este escenario y la configuración de creación de reflejo del puerto en los conmutadores físicos en función del escenario:

Si el host virtual está en el mismo conmutador físico, debe configurar un intervalo de nivel de conmutador.

Si el host virtual está en un conmutador diferente, debe configurar RSPAN o ERSPAN*.
Físico Físico en el mismo conmutador El conmutador físico debe admitir la creación de reflejo del puerto o SPAN.
Físico Físico en un conmutador diferente Requiere conmutadores físicos para admitir RSPAN o ERSPAN*.

* ERSPAN solo se admite cuando la desencapsulación se realiza antes de que ATA analice el tráfico.

Nota:

Asegúrese de que los controladores de dominio y las puertas de enlace de ATA a los que se conectan tienen el tiempo sincronizado en un plazo de cinco minutos entre sí.

Si está trabajando con clústeres de virtualización:

  • Para cada controlador de dominio que se ejecuta en el clúster de virtualización de una máquina virtual con la puerta de enlace de ATA, configure la afinidad entre el controlador de dominio y la puerta de enlace de ATA. De este modo, cuando el controlador de dominio se mueve a otro host del clúster, la puerta de enlace de ATA lo sigue. Esto funciona bien cuando hay algunos controladores de dominio.

Nota:

Si el entorno es compatible con virtual a virtual en diferentes hosts (RSPAN), no es necesario preocuparse por la afinidad.

  • Para asegurarse de que las puertas de enlace de ATA tienen el tamaño adecuado para encargarse de la supervisión de todos los controladores de dominio por sí mismas, pruebe esta opción: instale una máquina virtual en cada host de virtualización e instale una puerta de enlace de ATA en cada host. Configure cada puerta de enlace de ATA para supervisar todos los controladores de dominio que se ejecutan en el clúster. De este modo, se supervisa cualquier host en el que se ejecutan los controladores de dominio.

Después de configurar la creación de reflejo del puerto, compruebe que la creación de reflejo del puerto funciona antes de instalar la puerta de enlace de ATA.

Consulte también