Configurer la mise en miroir de ports
S’applique à : Advanced Threat Analytics version 1.9
Remarque
Cet article est pertinent uniquement si vous déployez des passerelles ATA au lieu de passerelles légères ATA. Pour déterminer si vous devez utiliser des passerelles ATA, consultez Choisir les passerelles appropriées pour votre déploiement.
La source de données main utilisée par ATA est une inspection approfondie des paquets du trafic réseau à destination et en provenance de vos contrôleurs de domaine. Pour qu’ATA affiche le trafic réseau, vous devez configurer la mise en miroir de ports ou utiliser un tap réseau.
Pour la mise en miroir de ports, configurez la mise en miroir de ports pour chaque contrôleur de domaine à surveiller, en tant que source du trafic réseau. En règle générale, vous devez travailler avec l’équipe de mise en réseau ou de virtualisation pour configurer la mise en miroir de ports. Pour plus d’informations, consultez la documentation de votre fournisseur.
Vos contrôleurs de domaine et passerelles ATA peuvent être physiques ou virtuels. Voici des méthodes courantes pour la mise en miroir de ports et quelques considérations. Pour plus d’informations, consultez la documentation du produit de votre commutateur ou serveur de virtualisation. Le fabricant de votre commutateur peut utiliser une terminologie différente.
Analyseur de port commuté (SPAN) : copie le trafic réseau d’un ou de plusieurs ports de commutateur vers un autre port de commutateur sur le même commutateur. La passerelle ATA et les contrôleurs de domaine doivent être connectés au même commutateur physique.
Remote Switch Port Analyzer (RSPAN) : vous permet de surveiller le trafic réseau à partir des ports sources distribués sur plusieurs commutateurs physiques. RSPAN copie le trafic source dans un réseau local virtuel configuré par RSPAN spécial. Ce réseau local virtuel doit être connecté aux autres commutateurs impliqués. RSPAN fonctionne au niveau de la couche 2.
Analyseur de port de commutateur distant encapsulé (ERSPAN) : technologie propriétaire de Cisco fonctionnant au niveau de la couche 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans avoir besoin de jonctions VLAN. ERSPAN utilise l’encapsulation de routage générique (GRE) pour copier le trafic réseau surveillé. ACTUELLEMENT, ATA ne peut pas recevoir directement le trafic ERSPAN. Pour qu’ATA fonctionne avec le trafic ERSPAN, un commutateur ou un routeur capable de décapiter le trafic doit être configuré comme destination d’ERSPAN où le trafic est décapsulé. Configurez ensuite le commutateur ou le routeur pour transférer le trafic décapsulé à la passerelle ATA à l’aide de SPAN ou de RSPAN.
Remarque
Si le contrôleur de domaine mis en miroir par port est connecté via une liaison WAN, assurez-vous que la liaison WAN peut gérer la charge supplémentaire du trafic ERSPAN. ATA prend en charge la surveillance du trafic uniquement lorsque le trafic atteint la carte réseau et le contrôleur de domaine de la même manière. ATA ne prend pas en charge la surveillance du trafic lorsque le trafic est réparti sur différents ports.
Options de mise en miroir de ports prises en charge
Passerelle ATA | Contrôleur de domaine | Considérations |
---|---|---|
Virtuel | Virtual sur le même hôte | Le commutateur virtuel doit prendre en charge la mise en miroir de ports. Le déplacement d’une des machines virtuelles vers un autre hôte peut interrompre la mise en miroir des ports. |
Virtuel | Virtuel sur différents hôtes | Assurez-vous que votre commutateur virtuel prend en charge ce scénario. |
Virtuel | Physique | Nécessite une carte réseau dédiée, sinon ATA voit tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie au centre ATA. |
Physique | Virtuel | Assurez-vous que votre commutateur virtuel prend en charge ce scénario et la configuration de la mise en miroir de ports sur vos commutateurs physiques en fonction du scénario : Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer une étendue de niveau de commutateur. Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN*. |
Physique | Physique sur le même commutateur | Le commutateur physique doit prendre en charge span/mise en miroir de ports. |
Physique | Physique sur un autre commutateur | Nécessite des commutateurs physiques pour prendre en charge RSPAN ou ERSPAN*. |
* ERSPAN est pris en charge uniquement lorsque la décapsulation est effectuée avant l’analyse du trafic par ATA.
Remarque
Assurez-vous que les contrôleurs de domaine et les passerelles ATA auxquelles ils se connectent sont synchronisés dans un délai de cinq minutes les uns des autres.
Si vous utilisez des clusters de virtualisation :
- Pour chaque contrôleur de domaine s’exécutant sur le cluster de virtualisation d’une machine virtuelle avec la passerelle ATA, configurez l’affinité entre le contrôleur de domaine et la passerelle ATA. De cette façon, lorsque le contrôleur de domaine se déplace vers un autre hôte dans le cluster, la passerelle ATA le suit. Cela fonctionne bien lorsqu’il existe quelques contrôleurs de domaine.
Remarque
Si votre environnement prend en charge virtual vers virtuel sur différents hôtes (RSPAN), vous n’avez pas à vous soucier de l’affinité.
- Pour vous assurer que les passerelles ATA sont correctement dimensionnées pour gérer la surveillance de tous les contrôleurs de domaine par elles-mêmes, essayez cette option : Installer une machine virtuelle sur chaque hôte de virtualisation et installer une passerelle ATA sur chaque hôte. Configurez chaque passerelle ATA pour surveiller tous les contrôleurs de domaine qui s’exécutent sur le cluster. De cette façon, tout hôte sur lequel les contrôleurs de domaine s’exécutent est surveillé.
Après avoir configuré la mise en miroir de ports, vérifiez que la mise en miroir de ports fonctionne avant d’installer la passerelle ATA.