OT 센서에 대한 트래픽 미러링 방법 선택
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링을 위한 배포 경로를 설명하는 문서 시리즈 중 하나이며 Microsoft Defender for IoT를 사용한 OT 모니터링에 지원되는 트래픽 미러링 방법을 설명합니다.
사용할 트래픽 미러링 방법에 대한 결정은 네트워크 구성 및 조직의 요구 사항에 따라 달라집니다.
Defender for IoT가 모니터링하려는 트래픽만 분석하도록 하려면 산업용 ICS 및 SCADA 트래픽만 포함하는 스위치 또는 TAP(터미널 액세스 지점)에서 트래픽 미러링을 구성하는 것이 좋습니다.
참고 항목
SPAN과 RSPAN은 Cisco 용어입니다. 다른 브랜드의 스위치는 기능이 비슷해도 다른 용어를 사용할 수 있습니다.
미러링 포트 범위 권장 사항
연결된 데이터가 없더라도 스위치의 모든 포트에서 트래픽 미러링을 구성하는 것이 좋습니다. 그렇지 않은 경우 악성 디바이스는 나중에 모니터링되지 않는 포트에 연결될 수 있으며 해당 디바이스는 Defender for IoT 네트워크 센서에서 검색되지 않습니다.
브로드캐스트 또는 멀티캐스트 메시징을 사용하는 OT 네트워크의 경우 RX(수신) 전송에 대해서만 트래픽 미러링을 구성합니다. 멀티캐스트 메시지는 모든 관련 활성 포트에 대해 반복되며 불필요하게 더 많은 대역폭을 사용합니다.
지원되는 트래픽 미러링 방법 비교
Defender for IoT는 다음 방법을 지원합니다.
| 메서드 | 설명 | 자세한 정보 |
|---|---|---|
| 스위치 SPAN 포트 | 스위치의 인터페이스에서 동일한 스위치의 다른 인터페이스로 로컬 트래픽을 미러링합니다. | 스위치 SPAN 포트로 미러링 구성 |
| RSPAN(원격 SPAN) 포트 | 여러 분산된 원본 포트에서 전용 원격 VLAN으로 트래픽을 미러링합니다. | RSPAN(원격 SPAN) 포트 RSPAN(원격 SPAN) 포트를 사용하여 트래픽 미러링 구성 |
| 활성 및 수동 집계(TAP) | 네트워크 케이블에 활성/수동 집계 TAP 인라인을 설치하여 OT 네트워크 센서에 대한 트래픽을 복제합니다. 포렌식 모니터링에 가장 적합한 방법입니다. | 활성 및 수동 집계(TAP) |
| ERSPAN(캡슐화된 원격 전환 포트 분석기) | 입력 인터페이스를 OT 센서의 모니터링 인터페이스에 미러링 | ERSPAN 포트 센서의 모니터링 인터페이스 업데이트(ERSPAN 구성) |
| ESXi vSwitch | ESXi vSwitch에서 무차별 모드를 사용하여 트래픽을 미러링합니다. | 가상 스위치를 사용한 트래픽 미러링 ESXi vSwitch로 트래픽 미러링 구성. |
| Hyper-V vSwitch | Hyper-V vSwitch에서 무차별 모드를 사용하여 트래픽을 미러링합니다. | 가상 스위치를 사용한 트래픽 미러링 Hyper-V vSwitch로 트래픽 미러링 구성 |
RSPAN(원격 SPAN) 포트
여러 분산된 원본 포트에서 전용 원격 VLAN으로 트래픽을 미러링하도록 스위치에서 RSPAN(원격 SPAN) 세션을 구성합니다.
그런 다음, VLAN의 데이터는 여러 스위치의 트렁크 포트를 통해 실제 대상 포트를 포함하는 특정 스위치로 배달됩니다. 대상 포트를 OT 네트워크 센서에 연결하여 Defender for IoT로 트래픽을 모니터링합니다.
다음 그림은 원격 VLAN 아키텍처의 예를 나타냅니다.
자세한 내용은 원격 SPAN(RSPAN) 포트로 트래픽 미러링 구성을 참조하세요.
활성 및 수동 집계(TAP)
활성 또는 수동 집계를 사용하여 트래픽을 미러링하는 경우 네트워크 케이블에 활성 또는 수동 집계 TAP(터미널 액세스 지점)이 인라인으로 설치됩니다. TAP는 IoT용 Defender를 사용하여 트래픽을 모니터링할 수 있도록 ‘수신’ 및 ‘전송’ 트래픽을 OT 네트워크 센서에 복제합니다.
TAP는 네트워크 트래픽이 중단 없이 포트 간을 흐르도록 하는 하드웨어 디바이스입니다. TAP는 네트워크 무결성을 손상시키지 않고 트래픽 흐름 양쪽의 정확한 복사본을 연속적으로 만듭니다.
예시:
일부 TAP는 스위치 구성에 따라 ‘수신’ 및 ‘전송’을 모두 집계합니다. 스위치가 집계를 지원하지 않는 경우 각 TAP는 OT 네트워크 센서의 두 포트를 사용하여 ‘수신’ 및 ‘전송’ 트래픽을 모두 모니터링합니다.
TAP를 사용하여 트래픽 미러링의 이점
특히 포렌식 목적으로 트래픽을 미러링할 때 TAP를 사용하는 것이 좋습니다. TAP를 사용하여 트래픽을 미러링할 때의 이점은 다음과 같습니다.
TAP는 하드웨어 기반이며 손상될 수 없습니다.
TAP는 스위치에 의해 종종 삭제되는 손상된 메시지를 비롯한 모든 트래픽을 전달합니다.
TAP는 프로세서에 민감하지 않습니다. 즉, 패킷 타이밍이 정확합니다. 반면 스위치는 미러링 기능을 우선 순위가 낮은 작업으로 처리하므로 미러된 패킷의 타이밍에 영향을 줄 수 있습니다.
TAP 집계를 사용하여 트래픽 포트를 모니터링할 수도 있습니다. 그러나 TAP 집계는 프로세서 기반이 아니며 하드웨어 TAP만큼 본질적으로 안전하지 않습니다. TAP 집계는 정확한 패킷 타이밍을 반영하지 않을 수 있습니다.
일반적인 TAP 모델
다음 TAP 모델은 Defender for IoT와의 호환성이 테스트되었습니다. 다른 공급업체 및 모델도 호환될 수 있습니다.
Garland P1GCCAS
Garland TAP를 사용하는 경우 집계를 지원하도록 네트워크를 설정해야 합니다. 자세한 내용은 Garland 설치 가이드의 네트워크 다이어그램 탭 아래에 있는 탭 집계 다이어그램을 참조하세요.
IXIA TPA2-CU3
Ixia TAP를 사용할 때 집계 모드가 활성화되어 있는지 확인합니다. 자세한 내용은 Ixia 설치 가이드를 참조하세요.
US Robotics USR 4503
US Robotics TAP를 사용하는 경우 선택 가능한 스위치를 AGG로 설정하여 집계 모드를 켜야 합니다. 자세한 내용은 US Robotics 설치 가이드를 참조하세요.
ERSPAN 포트
Defender for IoT를 사용하여 원격 네트워크를 보호하는 경우 캡슐화된 ERSPAN(원격 전환 포트 분석기)을 사용하여 IP 네트워크를 통해 입력 인터페이스를 OT 센서의 모니터링 인터페이스로 미러합니다.
센서의 모니터링 인터페이스는 난잡한 인터페이스이며 특별히 할당된 IP 주소가 없습니다. ERSPAN 지원이 구성되면 GRE 터널 캡슐화로 ERSPAN이 캡슐화된 트래픽 페이로드가 센서에 의해 분석됩니다.
계층 3 도메인에서 모니터링되는 트래픽을 확장해야 하는 경우 ERSPAN 캡슐화를 사용합니다. ERSPAN은 Cisco 독점 기능이며 특정 라우터 및 스위치에만 사용할 수 있습니다. 자세한 내용은 Cisco 설명서를 참조하세요.
참고 항목
이 문서에서는 ERSPAN을 사용하여 트래픽 미러링을 구성하기 위한 개략적인 지침을 제공합니다. 특정 구현 세부 정보는 장비 공급업체에 따라 달라집니다.
ERSPAN 아키텍처
ERSPAN 세션에는 서로 다른 스위치에 구성된 원본 세션과 대상 세션이 포함됩니다. 원본 스위치와 대상 스위치 간의 트래픽은 GRE로 캡슐화되며 계층 3 네트워크를 통해 라우트할 수 있습니다.
예시:
ERSPAN은 다음 프로세스를 사용하여 IP 네트워크를 통해 미러된 트래픽을 전송합니다.
- 원본 라우터는 트래픽을 캡슐화하고 네트워크를 통해 패킷을 보냅니다.
- 대상 라우터에서 패킷은 캡슐화 해제되어 대상 인터페이스로 전송됩니다.
ERSPAN 원본 옵션에는 다음과 같은 요소가 포함 됩니다.
- 이더넷 포트 및 포트 채널
- Vlan(VLAN에서 지원되는 모든 인터페이스는 ERSPAN 원본)
- 패브릭 포트 채널
- 위성 포트 및 호스트 인터페이스 포트 채널
자세한 내용은 센서의 모니터링 인터페이스 업데이트(ERSPAN 구성)를 참조하세요.
가상 스위치를 사용한 트래픽 미러링
가상 스위치에는 미러링 기능이 없지만 SPAN 포트와 유사하게 모니터링 포트를 구성하기 위한 해결 방법으로 가상 스위치 환경에서 무차별 모드를 사용할 수 있습니다. 스위치의 SPAN 포트는 스위치의 인터페이스에서 동일한 스위치의 다른 인터페이스로 로컬 트래픽을 미러링합니다.
대상 스위치를 OT 네트워크 센서에 연결하여 Defender for IoT로 트래픽을 모니터링합니다.
무차별 모드는 가상 스위치 또는 포트 그룹 수준에서 정의되는 보안, 모니터링 및 관리 기술이자 작업 모드입니다. 무차별 모드를 사용하는 경우 동일한 포트 그룹에 있는 가상 머신의 네트워크 인터페이스는 해당 가상 스위치를 통과하는 모든 네트워크 트래픽을 볼 수 있습니다. 기본적으로 무차별 모드는 꺼져 있습니다.
자세한 내용은 다음을 참조하세요.