Forgalomtükrözési módszer kiválasztása AZ OT-érzékelőkhöz

  • Cikk

Ez a cikk az IoT-hez készült Microsoft Defender OT-monitorozás üzembehelyezési útvonalát ismerteti, és ismerteti az IoT-hez készült Microsoft Defender ot monitorozásának támogatott forgalomtükrözési módszereit.

Egy folyamatjelző diagramja, amelyen a Tervezés és előkészítés elem van kiemelve.

Annak eldöntése, hogy melyik forgalomtükrözési módszert kell használni, a hálózati konfigurációtól és a szervezet igényeitől függ.

Annak biztosítása érdekében, hogy az IoT-hez készült Defender csak a figyelni kívánt forgalmat elemezze, javasoljuk, hogy konfigurálja a forgalomtükrözést egy kapcsolón vagy egy olyan terminálelérési ponton (TAP), amely csak az ipari ICS- és SCADA-forgalmat tartalmazza.

Megjegyzés

A SPAN és az RSPAN a Cisco terminológiája. A kapcsolók más márkái hasonló funkcionalitással rendelkeznek, de eltérő terminológiát használhatnak.

A port hatókörének tükrözése – javaslatok

Javasoljuk, hogy konfigurálja a forgalomtükrözést a kapcsoló összes portjáról, még akkor is, ha nincs hozzájuk adat csatlakoztatva. Ha nem teszi meg, a rendszer később nem figyelt porthoz csatlakoztatja a nem megbízható eszközöket, és ezeket az eszközöket az IoT-hez készült Defender hálózati érzékelők nem észlelik.

Szórásos vagy csoportos küldésű üzenetküldést használó OT-hálózatok esetén csak az RX (Fogadás) átvitelekhez konfigurálja a forgalomtükrözést. A csoportos küldési üzenetek minden releváns aktív porton ismétlődnek, és feleslegesen több sávszélességet fog használni.

A támogatott forgalomtükrözési módszerek összehasonlítása

Az IoT-hez készült Defender a következő módszereket támogatja:

Metódus Leírás További információ
Kapcsoló SPAN-portja A helyi forgalom tükrözése a kapcsoló illesztőiről egy másik adapterre ugyanazon a kapcsolón Tükrözés konfigurálása kapcsoló SPAN-porttal
Távoli SPAN -port (RSPAN) Több elosztott forrásport forgalmának tükrözése egy dedikált távoli VLAN-ba Távoli SPAN -portok (RSPAN)

Forgalomtükrözés konfigurálása távoli SPAN (RSPAN) porttal
Aktív vagy passzív összesítés (TAP) Egy aktív/passzív összesítési TAP-t telepít a hálózati kábelbe, amely duplikálja az OT hálózati érzékelő felé történő forgalmat. A legjobb módszer a kriminalisztikai megfigyeléshez. Aktív vagy passzív összesítés (TAP)
Egy beágyazott távkapcsolós portelemző (ERSPAN) A bemeneti adaptereket az OT-érzékelő monitorozási felületére tükrözi ERSPAN-portok

Frissítse az érzékelő monitorozási felületeit (konfigurálja az ERSPAN-t).
ESXi vSwitch Az ESXi vSwitch promiscuous móddal tükrözi a forgalmat. Forgalomtükrözés virtuális kapcsolókkal

Konfigurálja a forgalomtükrözést egy ESXi vSwitch használatával.
Hyper-V vSwitch Hyper-V vSwitch promiscuous módban tükrözi a forgalmat. Forgalomtükrözés virtuális kapcsolókkal

Forgalomtükrözés konfigurálása Hyper-V vSwitch használatával

Távoli SPAN -portok (RSPAN)

Konfiguráljon egy távoli SPAN (RSPAN) munkamenetet a kapcsolón, hogy több elosztott forrásport forgalmát tükrözhesse egy dedikált távoli VLAN-ba.

A VLAN-ban lévő adatokat ezután a rendszer a törzsön lévő portokon keresztül, több kapcsolón keresztül érkezik egy megadott kapcsolóra, amely tartalmazza a fizikai célportot. Csatlakoztassa a célportot az OT hálózati érzékelőhöz a forgalom figyeléséhez az IoT-hez készült Defenderrel.

Az alábbi ábrán egy távoli VLAN-architektúra látható:

A távoli VLAN diagramja.

További információ: Forgalomtükrözés konfigurálása távoli SPAN (RSPAN) porttal.

Aktív vagy passzív összesítés (TAP)

Ha aktív vagy passzív összesítést használ a forgalom tükrözésére, egy aktív vagy passzív aggregációs terminálelérési pont (TAP) van telepítve a hálózati kábelbe ágyazva. A TAP duplikálja a Forgalom fogadása és továbbítása az OT hálózati érzékelőre, hogy a forgalmat az IoT-hez készült Defenderrel monitorozza.

A TAP egy hardvereszköz, amely lehetővé teszi, hogy a hálózati forgalom megszakítás nélkül áramoljon oda-vissza a portok között. A TAP folyamatosan, a hálózati integritás veszélyeztetése nélkül hozza létre a forgalom mindkét oldalának pontos másolatát.

Például:

Az aktív és passzív TAP-k diagramja.

Egyes TAP-k a kapcsoló konfigurációjától függően a fogadást és az átvitelt is összesítik. Ha a kapcsoló nem támogatja az összesítést, minden TAP két portot használ az OT hálózati érzékelőn a bejövő és a továbbítási forgalom figyeléséhez.

A forgalom tükrözésének előnyei a TAP használatával

A műszaki tanácsadók használatát különösen akkor javasoljuk, ha a forgalom tükrözése kriminalisztikai célokra történik. A forgalom TOP-kkal való tükrözésének előnyei a következők:

  • A TOP-k hardveralapúak, és nem sérülhetnek

  • A műszaki tanácsadók minden forgalmat átadnak, még a sérült üzeneteket is, amelyeket gyakran ejtenek el a kapcsolók

  • A TAP-k nem érzékenyek a processzorra, ami azt jelenti, hogy a csomagidőzítés pontos. Ezzel szemben a kapcsolók alacsony prioritású feladatként kezelik a tükrözési funkciókat, ami hatással lehet a tükrözött csomagok időzítésére.

A tap aggregátorral is figyelheti a forgalmi portokat. A TAP-összesítők azonban nem processzoralapúak, és nem olyan belsőleg biztonságosak, mint a hardveres TAP-k. A TAP összesítők nem feltétlenül tükrözik a csomagok pontos időzítését.

Gyakori TAP-modellek

Az alábbi TAP-modelleket teszteltük az IoT Defenderrel való kompatibilitás érdekében. Más szállítók és modellek is kompatibilisek lehetnek.

  • Garland P1GCCAS

    Garland TAP használata esetén mindenképpen állítsa be a hálózatot az összesítés támogatásához. További információt a Garland telepítési útmutatójánakHálózati diagramok lapján található Összesítés diagram koppintása című témakörben talál.

  • IXIA TPA2-CU3

    Ixia TAP használatakor győződjön meg arról, hogy az összesítési mód aktív. További információt az Ixia telepítési útmutatójában talál.

  • US Robotics USR 4503

    A US Robotics TAP használatakor mindenképpen kapcsolja be az aggregációs módot úgy, hogy a választható kapcsolót AGG-re állítja. További információ: US Robotics telepítési útmutató.

ERSPAN-portok

Ha távoli hálózatokat szeretne biztonságossá tenni az IoT-hez készült Defenderrel, használjon egy beágyazott, távoli kapcsolóval ellátott portelemzőt (ERSPAN) az IP-hálózaton keresztüli bemeneti adapterek tükrözéséhez az OT-érzékelő monitorozási felületére.

Az érzékelő monitorozási felülete egy nem egyértelmű felület, és nem rendelkezik külön lefoglalt IP-címmel. Az ERSPAN-támogatás konfigurálásakor az érzékelő elemzi az ERSPAN-nak a GRE-alagútba ágyazott adatforgalmi hasznos adatait.

Akkor használja az ERSPAN-beágyazást, ha ki kell terjeszteni a figyelt forgalmat a 3. rétegbeli tartományok között. Az ERSPAN egy Cisco által védett funkció, amely csak bizonyos útválasztókon és kapcsolókon érhető el. További információt a Cisco dokumentációjában talál.

Megjegyzés

Ez a cikk magas szintű útmutatást nyújt a forgalomtükrözés ERSPAN-val való konfigurálásához. A konkrét megvalósítási részletek a gyártótól függően változnak.

ERSPAN-architektúra

Az ERSPAN-munkamenetek közé tartozik egy forrás- és egy célmunkamenet, amely különböző kapcsolókon van konfigurálva. A forrás- és célkapcsolók között a forgalom a GRE-ben van beágyazva, és a 3. rétegbeli hálózatokon keresztül irányítható.

Például:

A légi vagy ipari hálózatról az ERSPAN-t használó OT-hálózati érzékelő felé mutató forgalom diagramja.

Az ERSPAN a tükrözött forgalmat egy IP-hálózaton keresztül a következő eljárással szállítja:

  1. A forrás útválasztó beágyazza a forgalmat, és elküldi a csomagot a hálózaton keresztül.
  2. A cél útválasztón a rendszer feloldja a csomagot, és elküldi a célfelületre.

Az ERSPAN-forrásbeállítások többek között az alábbiakat tartalmazzák:

  • Ethernet-portok és portcsatornák
  • Vlan; A VLAN összes támogatott felülete ERSPAN-forrás
  • Hálóportcsatornák
  • Műholdas portok és gazdafelületi portcsatornák

További információ: Érzékelő monitorozási adaptereinek frissítése (ERSPAN konfigurálása).

Forgalomtükrözés virtuális kapcsolókkal

Bár a virtuális kapcsolók nem rendelkeznek tükrözési képességekkel, megkerülő megoldásként használhatja a virtuális kapcsolók környezetében a figyelési portok konfigurálását, hasonlóan a SPAN-portokhoz. A kapcsoló span portja a kapcsoló felületéről egy másik felületre menő helyi forgalmat tükröz ugyanazon a kapcsolón.

Csatlakoztassa a célkapcsolót az OT hálózati érzékelőhöz a forgalom monitorozásához az IoT-hez készült Defenderrel.

A promiscuous mód egy működési mód, valamint egy biztonsági, monitorozási és adminisztrációs technika, amely a virtuális kapcsoló vagy a portcsoport szintjén van meghatározva. Ha kétértelmű módot használ, az ugyanabban a portcsoportban lévő virtuális gép hálózati adapterei az adott virtuális kapcsolón áthaladó összes hálózati forgalmat megtekinthetik. Alapértelmezés szerint a nem egyértelmű mód ki van kapcsolva.

További információkért lásd:

Következő lépések

« Ot-hely üzembe helyezésének előkészítése