Forgalomtükrözési módszer kiválasztása AZ OT-érzékelőkhöz
Ez a cikk az IoT-hez készült Microsoft Defender OT-monitorozás üzembehelyezési útvonalát ismerteti, és ismerteti az IoT-hez készült Microsoft Defender ot monitorozásának támogatott forgalomtükrözési módszereit.
Annak eldöntése, hogy melyik forgalomtükrözési módszert kell használni, a hálózati konfigurációtól és a szervezet igényeitől függ.
Annak biztosítása érdekében, hogy az IoT-hez készült Defender csak a figyelni kívánt forgalmat elemezze, javasoljuk, hogy konfigurálja a forgalomtükrözést egy kapcsolón vagy egy olyan terminálelérési ponton (TAP), amely csak az ipari ICS- és SCADA-forgalmat tartalmazza.
Megjegyzés
A SPAN és az RSPAN a Cisco terminológiája. A kapcsolók más márkái hasonló funkcionalitással rendelkeznek, de eltérő terminológiát használhatnak.
A port hatókörének tükrözése – javaslatok
Javasoljuk, hogy konfigurálja a forgalomtükrözést a kapcsoló összes portjáról, még akkor is, ha nincs hozzájuk adat csatlakoztatva. Ha nem teszi meg, a rendszer később nem figyelt porthoz csatlakoztatja a nem megbízható eszközöket, és ezeket az eszközöket az IoT-hez készült Defender hálózati érzékelők nem észlelik.
Szórásos vagy csoportos küldésű üzenetküldést használó OT-hálózatok esetén csak az RX (Fogadás) átvitelekhez konfigurálja a forgalomtükrözést. A csoportos küldési üzenetek minden releváns aktív porton ismétlődnek, és feleslegesen több sávszélességet fog használni.
A támogatott forgalomtükrözési módszerek összehasonlítása
Az IoT-hez készült Defender a következő módszereket támogatja:
Metódus | Leírás | További információ |
---|---|---|
Kapcsoló SPAN-portja | A helyi forgalom tükrözése a kapcsoló illesztőiről egy másik adapterre ugyanazon a kapcsolón | Tükrözés konfigurálása kapcsoló SPAN-porttal |
Távoli SPAN -port (RSPAN) | Több elosztott forrásport forgalmának tükrözése egy dedikált távoli VLAN-ba |
Távoli SPAN -portok (RSPAN) Forgalomtükrözés konfigurálása távoli SPAN (RSPAN) porttal |
Aktív vagy passzív összesítés (TAP) | Egy aktív/passzív összesítési TAP-t telepít a hálózati kábelbe, amely duplikálja az OT hálózati érzékelő felé történő forgalmat. A legjobb módszer a kriminalisztikai megfigyeléshez. | Aktív vagy passzív összesítés (TAP) |
Egy beágyazott távkapcsolós portelemző (ERSPAN) | A bemeneti adaptereket az OT-érzékelő monitorozási felületére tükrözi |
ERSPAN-portok Frissítse az érzékelő monitorozási felületeit (konfigurálja az ERSPAN-t). |
ESXi vSwitch | Az ESXi vSwitch promiscuous móddal tükrözi a forgalmat. |
Forgalomtükrözés virtuális kapcsolókkal Konfigurálja a forgalomtükrözést egy ESXi vSwitch használatával. |
Hyper-V vSwitch | Hyper-V vSwitch promiscuous módban tükrözi a forgalmat. |
Forgalomtükrözés virtuális kapcsolókkal Forgalomtükrözés konfigurálása Hyper-V vSwitch használatával |
Távoli SPAN -portok (RSPAN)
Konfiguráljon egy távoli SPAN (RSPAN) munkamenetet a kapcsolón, hogy több elosztott forrásport forgalmát tükrözhesse egy dedikált távoli VLAN-ba.
A VLAN-ban lévő adatokat ezután a rendszer a törzsön lévő portokon keresztül, több kapcsolón keresztül érkezik egy megadott kapcsolóra, amely tartalmazza a fizikai célportot. Csatlakoztassa a célportot az OT hálózati érzékelőhöz a forgalom figyeléséhez az IoT-hez készült Defenderrel.
Az alábbi ábrán egy távoli VLAN-architektúra látható:
További információ: Forgalomtükrözés konfigurálása távoli SPAN (RSPAN) porttal.
Aktív vagy passzív összesítés (TAP)
Ha aktív vagy passzív összesítést használ a forgalom tükrözésére, egy aktív vagy passzív aggregációs terminálelérési pont (TAP) van telepítve a hálózati kábelbe ágyazva. A TAP duplikálja a Forgalom fogadása és továbbítása az OT hálózati érzékelőre, hogy a forgalmat az IoT-hez készült Defenderrel monitorozza.
A TAP egy hardvereszköz, amely lehetővé teszi, hogy a hálózati forgalom megszakítás nélkül áramoljon oda-vissza a portok között. A TAP folyamatosan, a hálózati integritás veszélyeztetése nélkül hozza létre a forgalom mindkét oldalának pontos másolatát.
Például:
Egyes TAP-k a kapcsoló konfigurációjától függően a fogadást és az átvitelt is összesítik. Ha a kapcsoló nem támogatja az összesítést, minden TAP két portot használ az OT hálózati érzékelőn a bejövő és a továbbítási forgalom figyeléséhez.
A forgalom tükrözésének előnyei a TAP használatával
A műszaki tanácsadók használatát különösen akkor javasoljuk, ha a forgalom tükrözése kriminalisztikai célokra történik. A forgalom TOP-kkal való tükrözésének előnyei a következők:
A TOP-k hardveralapúak, és nem sérülhetnek
A műszaki tanácsadók minden forgalmat átadnak, még a sérült üzeneteket is, amelyeket gyakran ejtenek el a kapcsolók
A TAP-k nem érzékenyek a processzorra, ami azt jelenti, hogy a csomagidőzítés pontos. Ezzel szemben a kapcsolók alacsony prioritású feladatként kezelik a tükrözési funkciókat, ami hatással lehet a tükrözött csomagok időzítésére.
A tap aggregátorral is figyelheti a forgalmi portokat. A TAP-összesítők azonban nem processzoralapúak, és nem olyan belsőleg biztonságosak, mint a hardveres TAP-k. A TAP összesítők nem feltétlenül tükrözik a csomagok pontos időzítését.
Gyakori TAP-modellek
Az alábbi TAP-modelleket teszteltük az IoT Defenderrel való kompatibilitás érdekében. Más szállítók és modellek is kompatibilisek lehetnek.
Garland P1GCCAS
Garland TAP használata esetén mindenképpen állítsa be a hálózatot az összesítés támogatásához. További információt a Garland telepítési útmutatójánakHálózati diagramok lapján található Összesítés diagram koppintása című témakörben talál.
IXIA TPA2-CU3
Ixia TAP használatakor győződjön meg arról, hogy az összesítési mód aktív. További információt az Ixia telepítési útmutatójában talál.
US Robotics USR 4503
A US Robotics TAP használatakor mindenképpen kapcsolja be az aggregációs módot úgy, hogy a választható kapcsolót AGG-re állítja. További információ: US Robotics telepítési útmutató.
ERSPAN-portok
Ha távoli hálózatokat szeretne biztonságossá tenni az IoT-hez készült Defenderrel, használjon egy beágyazott, távoli kapcsolóval ellátott portelemzőt (ERSPAN) az IP-hálózaton keresztüli bemeneti adapterek tükrözéséhez az OT-érzékelő monitorozási felületére.
Az érzékelő monitorozási felülete egy nem egyértelmű felület, és nem rendelkezik külön lefoglalt IP-címmel. Az ERSPAN-támogatás konfigurálásakor az érzékelő elemzi az ERSPAN-nak a GRE-alagútba ágyazott adatforgalmi hasznos adatait.
Akkor használja az ERSPAN-beágyazást, ha ki kell terjeszteni a figyelt forgalmat a 3. rétegbeli tartományok között. Az ERSPAN egy Cisco által védett funkció, amely csak bizonyos útválasztókon és kapcsolókon érhető el. További információt a Cisco dokumentációjában talál.
Megjegyzés
Ez a cikk magas szintű útmutatást nyújt a forgalomtükrözés ERSPAN-val való konfigurálásához. A konkrét megvalósítási részletek a gyártótól függően változnak.
ERSPAN-architektúra
Az ERSPAN-munkamenetek közé tartozik egy forrás- és egy célmunkamenet, amely különböző kapcsolókon van konfigurálva. A forrás- és célkapcsolók között a forgalom a GRE-ben van beágyazva, és a 3. rétegbeli hálózatokon keresztül irányítható.
Például:
Az ERSPAN a tükrözött forgalmat egy IP-hálózaton keresztül a következő eljárással szállítja:
- A forrás útválasztó beágyazza a forgalmat, és elküldi a csomagot a hálózaton keresztül.
- A cél útválasztón a rendszer feloldja a csomagot, és elküldi a célfelületre.
Az ERSPAN-forrásbeállítások többek között az alábbiakat tartalmazzák:
- Ethernet-portok és portcsatornák
- Vlan; A VLAN összes támogatott felülete ERSPAN-forrás
- Hálóportcsatornák
- Műholdas portok és gazdafelületi portcsatornák
További információ: Érzékelő monitorozási adaptereinek frissítése (ERSPAN konfigurálása).
Forgalomtükrözés virtuális kapcsolókkal
Bár a virtuális kapcsolók nem rendelkeznek tükrözési képességekkel, megkerülő megoldásként használhatja a virtuális kapcsolók környezetében a figyelési portok konfigurálását, hasonlóan a SPAN-portokhoz. A kapcsoló span portja a kapcsoló felületéről egy másik felületre menő helyi forgalmat tükröz ugyanazon a kapcsolón.
Csatlakoztassa a célkapcsolót az OT hálózati érzékelőhöz a forgalom monitorozásához az IoT-hez készült Defenderrel.
A promiscuous mód egy működési mód, valamint egy biztonsági, monitorozási és adminisztrációs technika, amely a virtuális kapcsoló vagy a portcsoport szintjén van meghatározva. Ha kétértelmű módot használ, az ugyanabban a portcsoportban lévő virtuális gép hálózati adapterei az adott virtuális kapcsolón áthaladó összes hálózati forgalmat megtekinthetik. Alapértelmezés szerint a nem egyértelmű mód ki van kapcsolva.
További információkért lásd:
- Forgalomtükrözés konfigurálása ESXi vSwitch használatával
- Forgalomtükrözés konfigurálása Hyper-V vSwitch használatával