Choisir une méthode de mise en miroir du trafic pour les capteurs OT

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la surveillance OT avec Microsoft Defender pour IoT, et décrit les méthodes de mise en miroir du trafic prises en charge pour la surveillance OT avec Microsoft Defender pour IoT.

Diagramme d’une barre de progression avec Planifier et préparer mis en évidence.

La décision quant à la méthode de mise en miroir du trafic à utiliser dépend de votre configuration réseau et des besoins de votre organization.

Pour vous assurer que Defender pour IoT analyse uniquement le trafic que vous souhaitez surveiller, nous vous recommandons de configurer la mise en miroir du trafic sur un commutateur ou un point d’accès terminal (TAP) qui inclut uniquement le trafic ICS industriel et SCADA.

Remarque

SPAN et RSPAN sont la terminologie Cisco. D’autres marques de commutateurs ont des fonctionnalités similaires, mais peuvent utiliser une terminologie différente.

Recommandations relatives à l’étendue des ports de mise en miroir

Nous vous recommandons de configurer votre mise en miroir du trafic à partir de tous les ports de votre commutateur, même si aucune donnée n’y est connectée. Si ce n’est pas le cas, les appareils non autorisés peuvent par la suite être connectés à un port non surveillé, et ces appareils ne seront pas détectés par les capteurs réseau Defender pour IoT.

Pour les réseaux OT qui utilisent la messagerie de diffusion ou de multidiffusion, configurez la mise en miroir du trafic uniquement pour les transmissions RX (Receive). Les messages de multidiffusion sont répétés pour tous les ports actifs pertinents, et vous utiliserez inutilement plus de bande passante.

Comparer les méthodes de mise en miroir du trafic prises en charge

Defender pour IoT prend en charge les méthodes suivantes :

Méthode Description Plus d’informations
Un port SPAN de commutateur Met en miroir le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur Configurer la mise en miroir avec un port SPAN de commutateur
Port SPAN distant (RSPAN) Met en miroir le trafic provenant de plusieurs ports sources distribués dans un réseau local virtuel distant dédié Ports SPAN distants (RSPAN)

Configurer la mise en miroir du trafic avec un port REMOTE SPAN (RSPAN)
Agrégation active ou passive (TAP) Installe un tap d’agrégation actif/passif inline sur votre câble réseau, ce qui duplique le trafic vers le capteur réseau OT. Meilleure méthode pour la surveillance d’investigation. Agrégation active ou passive (TAP)
Analyseur de port commuté distant encapsulé (ERSPAN) Met en miroir les interfaces d’entrée à l’interface de surveillance de votre capteur OT Ports ERSPAN

Mettre à jour les interfaces de surveillance d’un capteur (configurer ERSPAN).
Un vSwitch ESXi Met en miroir le trafic à l’aide du mode Promiscuous sur un vSwitch ESXi. Mise en miroir du trafic avec des commutateurs virtuels

Configurez la mise en miroir du trafic avec un vSwitch ESXi.
Un vSwitch Hyper-V Met en miroir le trafic à l’aide du mode Promiscuous sur un vSwitch Hyper-V. Mise en miroir du trafic avec des commutateurs virtuels

Configurer la mise en miroir du trafic avec un vSwitch Hyper-V

Ports SPAN distants (RSPAN)

Configurez une session SPAN distante (RSPAN) sur votre commutateur pour miroir le trafic à partir de plusieurs ports sources distribués dans un VLAN distant dédié.

Les données du réseau local virtuel sont ensuite remises via des ports de jonction, sur plusieurs commutateurs vers un commutateur spécifié qui contient le port de destination physique. Connectez le port de destination à votre capteur réseau OT pour surveiller le trafic avec Defender pour IoT.

Le diagramme suivant illustre un exemple d’architecture VLAN distante :

Diagramme du réseau local virtuel distant.

Pour plus d’informations, consultez Configurer la mise en miroir du trafic avec un port REMOTE SPAN (RSPAN).

Agrégation active ou passive (TAP)

Lors de l’utilisation de l’agrégation active ou passive pour miroir le trafic, un point d’accès terminal d’agrégation (TAP) actif ou passif est installé en ligne sur le câble réseau. Le TAP duplique à la fois le trafic recevoir et transmettre le trafic vers le capteur réseau OT afin que vous puissiez surveiller le trafic avec Defender pour IoT.

Un TAP est un appareil matériel qui permet au trafic réseau de circuler entre les ports sans interruption. Le TAP crée une copie exacte des deux côtés du flux de trafic, en continu, sans compromettre l’intégrité du réseau.

Par exemple :

Diagramme des TAPs actifs et passifs.

Certains TAPs agrègent la réception et la transmission, en fonction de la configuration du commutateur. Si votre commutateur ne prend pas en charge l’agrégation, chaque tap utilise deux ports sur votre capteur réseau OT pour surveiller le trafic de réception et de transmission .

Avantages de la mise en miroir du trafic avec un tap

Nous recommandons les TAPs, en particulier lors de la mise en miroir du trafic à des fins d’investigation. Les avantages de la mise en miroir du trafic avec des tapes sont les suivants :

  • Les tapes sont basés sur le matériel et ne peuvent pas être compromis.

  • Les tapes passent tout le trafic, même les messages endommagés qui sont souvent supprimés par les commutateurs.

  • Les TAPs ne sont pas sensibles au processeur, ce qui signifie que le minutage des paquets est exact. En revanche, les commutateurs gèrent la fonctionnalité de mise en miroir comme une tâche de faible priorité, ce qui peut affecter le minutage des paquets mis en miroir.

Vous pouvez également utiliser un agrégateur TAP pour surveiller vos ports de trafic. Toutefois, les agrégateurs TAP ne sont pas basés sur un processeur et ne sont pas aussi intrinsèquement sécurisés que les TAPs matériels. Les agrégateurs TAP peuvent ne pas refléter le minutage exact des paquets.

Modèles TAP courants

La compatibilité des modèles TAP suivants avec Defender pour IoT a été testée. D’autres fournisseurs et modèles peuvent également être compatibles.

  • Garland P1GCCAS

    Lorsque vous utilisez un TAP Garland, veillez à configurer votre réseau pour prendre en charge l’agrégation. Pour plus d’informations, consultez le diagramme d’agrégation d’appui sous l’onglet Diagrammes réseau dans le guide d’installation de Garland.

  • IXIA TPA2-CU3

    Lorsque vous utilisez un TAP Ixia, vérifiez que le mode d’agrégation est actif. Pour plus d’informations, consultez le guide d’installation d’Ixia.

  • US Robotics USR 4503

    Lorsque vous utilisez un TAP us Robotics, veillez à activer le mode d’agrégation en définissant le commutateur sélectionnable sur AGG. Pour plus d’informations, consultez le guide d’installation us Robotics.

Ports ERSPAN

Utilisez un analyseur de port commuté distant (ERSPAN) encapsulé pour miroir interfaces d’entrée sur un réseau IP à l’interface de surveillance de votre capteur OT, lors de la sécurisation des réseaux distants avec Defender pour IoT.

L’interface de surveillance du capteur est une interface de promiscuité et n’a pas d’adresse IP spécifiquement allouée. Lorsque la prise en charge d’ERSPAN est configurée, les charges utiles du trafic qui sont encapsulées par ERSPAN avec l’encapsulation de tunnel GRE sont analysées par le capteur.

Utilisez l’encapsulation ERSPAN lorsqu’il est nécessaire d’étendre le trafic surveillé entre les domaines de couche 3. ERSPAN est une fonctionnalité propriétaire de Cisco et est disponible uniquement sur des routeurs et des commutateurs spécifiques. Pour plus d’informations, consultez la documentation Cisco.

Remarque

Cet article fournit des conseils généraux pour la configuration de la mise en miroir du trafic avec ERSPAN. Les détails d’implémentation spécifiques varient en fonction de votre fournisseur d’équipement.

Architecture ERSPAN

Les sessions ERSPAN incluent une session source et une session de destination configurées sur différents commutateurs. Entre les commutateurs source et de destination, le trafic est encapsulé dans GRE et peut être routé sur des réseaux de couche 3.

Par exemple :

Diagramme du trafic mis en miroir d’un réseau aérien ou industriel vers un capteur réseau OT à l’aide d’ERSPAN.

ERSPAN transporte le trafic mis en miroir sur un réseau IP à l’aide du processus suivant :

  1. Un routeur source encapsule le trafic et envoie le paquet sur le réseau.
  2. Au niveau du routeur de destination, le paquet est dé-capsulé et envoyé à l’interface de destination.

Les options de source ERSPAN incluent des éléments tels que :

  • Ports Ethernet et canaux de port
  • Vlan; toutes les interfaces prises en charge dans le réseau local virtuel sont des sources ERSPAN
  • Canaux de port d’infrastructure
  • Ports satellites et canaux de port de l’interface hôte

Pour plus d’informations, consultez Mettre à jour les interfaces de surveillance d’un capteur (configurer ERSPAN).

Considérations relatives à l’ID de réseau local virtuel pour ERSPAN

Lorsque vous configurez ERSPAN, réfléchissez à la façon dont les ID de VLAN sont gérés en fonction du type de port mis en miroir :

  • Les réseaux locaux virtuels étiquetés existent dans les paquets des ports en miroir de jonction et restent intacts dans la charge utile du paquet pendant l’encapsulation. Le capteur Defender pour IoT prend en charge les réseaux locaux virtuels étiquetés.
  • Les réseaux locaux virtuels non étiquetés proviennent de ports mis en miroir d’accès. Les réseaux locaux virtuels non étiquetés sont supprimés de la charge utile pendant la décapsulation et, par conséquent, ils sont perdus. Le capteur Microsoft Defender pour IoT ne prend pas en charge les réseaux locaux virtuels non étiquetés.

Pour garantir une détection précise du réseau local virtuel, configurez votre réseau et votre routeur ERSPAN afin que tous les ports mis en miroir utilisent des réseaux locaux virtuels étiquetés, où miroir ports sont configurés en tant que ports de jonction. Avec cette configuration, les informations du réseau local virtuel restent dans la charge utile du paquet tout au long du processus ERSPAN et fournissent une visibilité complète pour la surveillance du capteur Defender pour IoT.

Mise en miroir du trafic avec des commutateurs virtuels

Bien qu’un commutateur virtuel n’ait pas de fonctionnalités de mise en miroir, vous pouvez utiliser le mode promiscuous dans un environnement de commutateur virtuel comme solution de contournement pour configurer un port de surveillance, comme un port SPAN. Un port SPAN sur votre commutateur reflète le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur.

Connectez le commutateur de destination à votre capteur réseau OT pour surveiller le trafic avec Defender pour IoT.

Le mode promiscuous est un mode de fonctionnement et une technique de sécurité, de surveillance et d’administration qui est définie au niveau du commutateur virtuel ou du groupe de ports. Lorsque le mode promiscuous est utilisé, l’une des interfaces réseau de la machine virtuelle dans le même groupe de ports peut afficher tout le trafic réseau qui passe par ce commutateur virtuel. Par défaut, le mode promiscuous est désactivé.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Étapes suivantes

« Préparer un déploiement de site OT

  • Last updated on