Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT, dan menjelaskan metode pencerminan lalu lintas yang didukung untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.
Keputusan tentang metode pencerminan lalu lintas mana yang akan digunakan tergantung pada konfigurasi jaringan Anda dan kebutuhan organisasi Anda.
Untuk memastikan bahwa Defender for IoT hanya menganalisis lalu lintas yang ingin Anda pantau, kami sarankan Anda mengonfigurasi pencerminan lalu lintas pada switch atau titik akses terminal (TAP) yang hanya mencakup lalu lintas ICS dan SCADA industri.
Catatan
SPAN dan RSPAN adalah terminologi Cisco. Merek switch lain memiliki fungsi yang sama tetapi mungkin menggunakan terminologi yang berbeda.
Rekomendasi cakupan port pencerminan
Sebaiknya konfigurasikan pencerminan lalu lintas Anda dari semua port switch Anda, meskipun tidak ada data yang terhubung ke port tersebut. Jika tidak, perangkat nakal nantinya dapat dihubungkan ke port yang tidak dimonitor, dan perangkat tersebut tidak akan terdeteksi oleh sensor jaringan Defender for IoT.
Untuk jaringan OT yang menggunakan pesan siaran atau multicast, konfigurasikan pencerminan lalu lintas hanya untuk transmisi RX (Terima). Pesan multicast akan diulang untuk port aktif yang relevan, dan Anda akan menggunakan lebih banyak bandwidth yang tidak perlu.
Membandingkan metode pencerminan lalu lintas yang didukung
Defender for IoT mendukung metode berikut:
| Metode | Deskripsi | Informasi selengkapnya |
|---|---|---|
| Port SPAN switch | Mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama | Mengonfigurasi pencerminan dengan port SPAN switch |
| Port Remote SPAN (RSPAN) | Mencerminkan lalu lintas dari beberapa port sumber terdistribusi ke dalam VLAN jarak jauh khusus |
Port SPAN Jarak Jauh (RSPAN) Mengonfigurasi pencerminan lalu lintas dengan port Remote SPAN (RSPAN) |
| Agregasi aktif atau pasif (TAP) | Menginstal TAP agregasi aktif/pasif sebaris ke kabel jaringan Anda, yang menduplikasi lalu lintas ke sensor jaringan OT. Metode terbaik untuk pemantauan forensik. | Agregasi aktif atau pasif (TAP) |
| Penganalisis port teralihkan jarak jauh (ERSPAN) yang dienkapsulasi | Mencerminkan antarmuka input ke antarmuka pemantauan sensor OT Anda |
Port ERSPAN Perbarui antarmuka pemantauan sensor (konfigurasikan ERSPAN). |
| ESXi vSwitch | Mencerminkan lalu lintas menggunakan mode Promiscuous pada ESXi vSwitch. |
Pencerminan lalu lintas dengan sakelar virtual Konfigurasikan pencerminan lalu lintas dengan ESXi vSwitch. |
| Hyper-V vSwitch | Mencerminkan lalu lintas menggunakan mode Promiscuous pada Hyper-V vSwitch. |
Pencerminan lalu lintas dengan sakelar virtual Mengonfigurasi pencerminan lalu lintas dengan Hyper-V vSwitch |
Port SPAN Jarak Jauh (RSPAN)
Konfigurasikan sesi SPAN jarak jauh (RSPAN) pada sakelar Anda untuk mencerminkan lalu lintas dari beberapa port sumber terdistribusi ke dalam VLAN jarak jauh khusus.
Data di VLAN kemudian dikirimkan melalui port terpotong, di beberapa sakelar ke sakelar tertentu yang berisi port tujuan fisik. Sambungkan port tujuan ke sensor jaringan OT Anda untuk memantau lalu lintas dengan Defender for IoT.
Diagram berikut menunjukkan contoh arsitektur VLAN jarak jauh:
Untuk informasi selengkapnya, lihat Mengonfigurasi pencerminan lalu lintas dengan port Remote SPAN (RSPAN).
Agregasi aktif atau pasif (TAP)
Saat menggunakan agregasi aktif atau pasif untuk mencerminkan lalu lintas, titik akses terminal agregasi aktif atau pasif (TAP) dipasang sebaris ke kabel jaringan. TAP menduplikasi lalu lintas Terima dan Kirim ke sensor jaringan OT sehingga Anda dapat memantau lalu lintas dengan Defender untuk IoT.
TAP adalah perangkat keras yang memungkinkan lalu lintas jaringan mengalir bolak-balik antar port tanpa gangguan. TAP membuat salinan yang tepat dari kedua sisi arus lalu lintas, terus menerus, tanpa mengorbankan integritas jaringan.
Contohnya:
Beberapa TAP mengagregasi Terima dan Kirim, tergantung pada konfigurasi pengalihan. Jika sakelar Anda tidak mendukung agregasi, setiap TAP menggunakan dua port pada sensor jaringan OT Anda untuk memantau lalu lintas Terima dan Kirim .
Keuntungan mencerminkan lalu lintas dengan TAP
Kami merekomendasikan TAP terutama ketika pencerminan lalu lintas untuk tujuan forensik. Keuntungan mencerminkan lalu lintas dengan TAP meliputi:
TAP berbasis perangkat keras dan tidak dapat disalahgunakan
TAP melewati semua lalu lintas, bahkan pesan rusak yang sering dihilangkan oleh sakelar
TAP tidak sensitif terhadap prosesor, yang berarti bahwa waktu paket tepat. Sebaliknya, sakelar menangani fungsi pencerminan sebagai tugas berprioritas rendah, yang dapat memengaruhi waktu paket cermin.
Anda juga dapat menggunakan agregator TAP untuk memantau port lalu lintas Anda. Namun, agregator TAP tidak berbasis prosesor, dan tidak seaman secara intrinsik sebagai TAP perangkat keras. Agregator TAP mungkin tidak mencerminkan waktu paket yang tepat.
Model TAP umum
Model TAP berikut telah diuji kompatibilitasnya dengan Defender untuk IoT. Vendor dan model lain mungkin juga kompatibel.
P1GCCAS Karangan Bunga
Saat menggunakan TAP Garland, pastikan untuk menyiapkan jaringan Anda untuk mendukung agregasi. Untuk informasi selengkapnya, lihat diagram Ketuk Agregasi di bawah tab Diagram Jaringan di panduan penginstalan Garland.
IXIA TPA2-CU3
Saat menggunakan Ixia TAP, pastikan mode Agregasi aktif. Untuk informasi selengkapnya, lihat panduan penginstalan Ixia.
Us Robotics USR 4503
Saat menggunakan TAP Robotika AS, pastikan untuk mengaktifkan mode agregasi dengan mengatur sakelar yang dapat dipilih ke AGG. Untuk informasi selengkapnya, lihat panduan penginstalan Robotika AS.
Port ERSPAN
Gunakan penganalisis port teralihkan (ERSPAN) yang dienkapsulasi untuk mencerminkan antarmuka input melalui jaringan IP ke antarmuka pemantauan sensor OT Anda, saat mengamankan jaringan jarak jauh dengan Defender for IoT.
Antarmuka pemantauan sensor adalah antarmuka yang menjanjikan dan tidak memiliki alamat IP yang dialokasikan secara khusus. Ketika dukungan ERSPAN dikonfigurasi, payload lalu lintas yang dienkapsulasi ERSPAN dengan enkapsulasi terowongan GRE akan dianalisis oleh sensor.
Gunakan enkapulasi ERSPAN saat ada kebutuhan untuk memperluas lalu lintas yang dipantau di seluruh domain Lapisan 3. ERSPAN adalah fitur kepemilikan Cisco dan hanya tersedia pada router dan sakelar tertentu. Untuk informasi selengkapnya, lihat dokumentasi Cisco.
Catatan
Artikel ini menyediakan panduan tingkat tinggi untuk mengonfigurasi pencerminan lalu lintas dengan ERSPAN. Detail implementasi tertentu akan bervariasi tergantung pada vendor peralatan Anda.
Arsitektur ERSPAN
Sesi ERSPAN mencakup sesi sumber dan sesi tujuan yang dikonfigurasi pada sakelar yang berbeda. Antara sakelar sumber dan tujuan, lalu lintas dienkapsulasi di GRE dan dapat dirutekan melalui jaringan lapisan 3.
Contohnya:
ERSPAN mengangkut lalu lintas cermin melalui jaringan IP menggunakan proses berikut:
- Router sumber merangkum lalu lintas dan mengirim paket melalui jaringan.
- Di router tujuan, paket tidak dibatasi dan dikirim ke antarmuka tujuan.
Opsi sumber ERSPAN mencakup elemen seperti:
- Port Ethernet dan saluran port
- VLAN; semua antarmuka yang didukung di VLAN adalah sumber ERSPAN
- Saluran port fabric
- Port satelit dan saluran port antarmuka host
Untuk informasi selengkapnya, lihat Memperbarui antarmuka pemantauan sensor (mengonfigurasi ERSPAN).
Pencerminan lalu lintas dengan sakelar virtual
Meskipun sakelar virtual tidak memiliki kemampuan pencerminan, Anda dapat menggunakan mode Promiscuous di lingkungan sakelar virtual sebagai solusi untuk mengonfigurasi port pemantauan, mirip dengan port SPAN. Port SPAN pada sakelar Anda mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama.
Sambungkan sakelar tujuan ke sensor jaringan OT Anda untuk memantau lalu lintas dengan Defender for IoT.
Mode promiscuous adalah mode operasi dan keamanan, pemantauan dan teknik administrasi, yang didefinisikan pada sakelar virtual, atau tingkat portgroup. Saat mode promiscuous digunakan, antarmuka jaringan mesin virtual mana pun yang berada di grup port yang sama dapat melihat semua lalu lintas jaringan yang melewati pengalihan virtual itu. Secara default, mode promiscuous dinonaktifkan.
Untuk informasi selengkapnya, lihat:
- Mengonfigurasi pencerminan lalu lintas dengan ESXi vSwitch
- Mengonfigurasi pencerminan lalu lintas dengan Hyper-V vSwitch