Een methode voor verkeersspiegeling kiezen voor OT-sensoren

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven en waarin de ondersteunde methoden voor het spiegelen van verkeer voor OT-bewaking met Microsoft Defender voor IoT worden beschreven.

Diagram van een voortgangsbalk met Plannen en voorbereiden gemarkeerd.

De beslissing over welke methode voor verkeersspiegeling moet worden gebruikt, is afhankelijk van uw netwerkconfiguratie en de behoeften van uw organisatie.

Om ervoor te zorgen dat Defender for IoT alleen het verkeer analyseert dat u wilt bewaken, raden we u aan om verkeersspiegeling te configureren op een switch of een terminaltoegangspunt (TAP) dat alleen industrieel ICS- en SCADA-verkeer bevat.

Notitie

SPAN en RSPAN zijn Cisco-terminologie. Andere merken switches hebben vergelijkbare functionaliteit, maar gebruiken mogelijk andere terminologie.

Aanbevelingen voor poortbereik spiegelen

We raden u aan uw verkeersspiegeling te configureren vanaf alle poorten van uw switch, zelfs als er geen gegevens mee zijn verbonden. Als u dat niet doet, kunnen rogue apparaten later worden verbonden met een niet-bewaakte poort en worden deze apparaten niet gedetecteerd door de Defender for IoT-netwerksensoren.

Voor OT-netwerken die gebruikmaken van broadcast- of multicast-berichten, configureert u verkeersspiegeling alleen voor RX-verzendingen (receive). Multicast-berichten worden herhaald voor alle relevante actieve poorten en u gebruikt onnodig meer bandbreedte.

Ondersteunde methoden voor verkeersspiegeling vergelijken

Defender for IoT ondersteunt de volgende methoden:

Methode Beschrijving Meer informatie
Een SWITCH SPAN-poort Spiegelt lokaal verkeer van interfaces op de switch naar een andere interface op dezelfde switch Spiegeling configureren met een SWITCH SPAN-poort
Externe SPAN-poort (RSPAN) Verkeer van meerdere, gedistribueerde bronpoorten spiegelen naar een toegewezen extern VLAN Externe SPAN-poorten (RSPAN)

Verkeersspiegeling configureren met een RSPAN-poort (Remote SPAN)
Actieve of passieve aggregatie (TAP) Installeert een actieve/passieve aggregatie TAP inline op uw netwerkkabel, die verkeer naar de OT-netwerksensor dupliceert. Beste methode voor forensische bewaking. Actieve of passieve aggregatie (TAP)
Een ingekapselde remote switched port analyzer (ERSPAN) Spiegelt invoerinterfaces naar de bewakingsinterface van uw OT-sensor ERSPAN-poorten

De bewakingsinterfaces van een sensor bijwerken (ERSPAN configureren).
Een ESXi vSwitch Spiegelt verkeer met behulp van de Promiscuous-modus op een ESXi vSwitch. Verkeer spiegelen met virtuele switches

Configureer verkeersspiegeling met een ESXi vSwitch.
Een Hyper-V vSwitch Spiegelt verkeer met behulp van de promiscueuze modus op een Hyper-V vSwitch. Verkeer spiegelen met virtuele switches

Verkeersspiegeling configureren met een Hyper-V vSwitch

Externe SPAN-poorten (RSPAN)

Configureer een externe SPAN-sessie (RSPAN) op uw switch om verkeer van meerdere, gedistribueerde bronpoorten te spiegelen naar een toegewezen extern VLAN.

Gegevens in het VLAN worden vervolgens geleverd via trunk-poorten, via meerdere switches naar een opgegeven switch die de fysieke doelpoort bevat. Verbind de doelpoort met uw OT-netwerksensor om verkeer te bewaken met Defender for IoT.

In het volgende diagram ziet u een voorbeeld van een externe VLAN-architectuur:

Diagram van extern VLAN.

Zie Verkeersspiegeling configureren met een RSPAN-poort (Remote SPAN) voor meer informatie.

Actieve of passieve aggregatie (TAP)

Wanneer u actieve of passieve aggregatie gebruikt om verkeer te spiegelen, wordt een actief of passief aggregatieterminaltoegangspunt (TAP) inline op de netwerkkabel geïnstalleerd. De TAP dupliceert zowel Het ontvangen als verzenden van verkeer naar de OT-netwerksensor, zodat u het verkeer kunt bewaken met Defender for IoT.

Een TAP is een hardwareapparaat waarmee netwerkverkeer zonder onderbreking tussen poorten kan stromen. De TAP maakt continu een exacte kopie van beide zijden van de verkeersstroom, zonder dat dit ten koste gaat van de netwerkintegriteit.

Bijvoorbeeld:

Diagram van actieve en passieve TAPs.

Sommige TAPs aggregeren zowel Receive als Transmit, afhankelijk van de switchconfiguratie. Als uw switch geen ondersteuning biedt voor aggregatie, gebruikt elke TAP twee poorten op uw OT-netwerksensor om zowel ontvangen als verzendend verkeer te bewaken.

Voordelen van het spiegelen van verkeer met een TAP

We raden TAP's aan, met name bij het spiegelen van verkeer voor forensische doeleinden. Voordelen van het spiegelen van verkeer met TAP's zijn onder andere:

  • TAP's zijn gebaseerd op hardware en kunnen niet worden gecompromitteerd

  • TAPs geven al het verkeer door, zelfs beschadigde berichten die vaak worden verwijderd door de switches

  • TAPs zijn niet processorgevoelig, wat betekent dat de timing van pakketten exact is. Switches verwerken daarentegen spiegelingsfunctionaliteit als een taak met lage prioriteit, wat van invloed kan zijn op de timing van de gespiegelde pakketten.

U kunt ook een TAP-aggregator gebruiken om uw verkeerspoorten te bewaken. TAP-aggregators zijn echter niet op processoren gebaseerd en zijn niet zo intrinsiek veilig als hardware-TAPs. TAP-aggregators geven mogelijk geen exacte timing van pakketten weer.

Algemene TAP-modellen

De volgende TAP-modellen zijn getest op compatibiliteit met Defender for IoT. Andere leveranciers en modellen zijn mogelijk ook compatibel.

  • Garland P1GCCAS

    Wanneer u een Garland TAP gebruikt, moet u uw netwerk instellen om aggregatie te ondersteunen. Zie het diagram Aggregatie tikken op het tabblad Netwerkdiagrammen in de Garland-installatiehandleiding voor meer informatie.

  • IXIA TPA2-CU3

    Wanneer u een Ixia TAP gebruikt, moet u ervoor zorgen dat de aggregatiemodus actief is. Zie de Ixia-installatiehandleiding voor meer informatie.

  • US Robotics USR 4503

    Wanneer u een US Robotics TAP gebruikt, moet u ervoor zorgen dat u de aggregatiemodus inschakelt door de selecteerbare schakelaar in te stellen op AGG. Zie de installatiehandleiding voor US Robotics voor meer informatie.

ERSPAN-poorten

Gebruik een ingekapselde REMOTE Switched Port Analyzer (ERSPAN) om invoerinterfaces via een IP-netwerk te spiegelen naar de bewakingsinterface van uw OT-sensor bij het beveiligen van externe netwerken met Defender for IoT.

De bewakingsinterface van de sensor is een promiscueuze interface en heeft geen specifiek toegewezen IP-adres. Wanneer ERSPAN-ondersteuning is geconfigureerd, worden er nettoladingen van verkeer die zijn ingekapseld met GRE-tunnel-inkapseling geanalyseerd door de sensor.

Gebruik ERSPAN-inkapseling wanneer het nodig is om bewaakt verkeer uit te breiden naar laag 3-domeinen. ERSPAN is een eigen cisco-functie en is alleen beschikbaar op specifieke routers en switches. Zie de Cisco-documentatie voor meer informatie.

Notitie

Dit artikel bevat richtlijnen op hoog niveau voor het configureren van verkeersspiegeling met ERSPAN. Specifieke implementatiedetails variëren, afhankelijk van de leverancier van uw apparatuur.

ERSPAN-architectuur

ERSPAN-sessies omvatten een bronsessie en een doelsessie die zijn geconfigureerd op verschillende switches. Tussen de bron- en doelswitches wordt verkeer ingekapseld in GRE en kan het worden gerouteerd via laag 3-netwerken.

Bijvoorbeeld:

Diagram van verkeer gespiegeld van een air-gapped of industrieel netwerk naar een OT-netwerksensor met behulp van ERSPAN.

ERSPAN transporteert gespiegeld verkeer via een IP-netwerk met behulp van het volgende proces:

  1. Een bronrouter kapselt het verkeer in en verzendt het pakket via het netwerk.
  2. Op de doelrouter wordt het pakket gedecapsuleerd en verzonden naar de doelinterface.

ERSPAN-bronopties bevatten elementen zoals:

  • Ethernet-poorten en poortkanalen
  • VLAN's; alle ondersteunde interfaces in het VLAN zijn ERSPAN-bronnen
  • Infrastructuurpoortkanalen
  • Satellietpoorten en hostinterfacepoortkanalen

Zie De bewakingsinterfaces van een sensor bijwerken (ERSPAN configureren) voor meer informatie.

Verkeer spiegelen met virtuele switches

Hoewel een virtuele switch geen spiegelingsmogelijkheden heeft, kunt u de Promiscuous-modus in een virtuele switchomgeving gebruiken als tijdelijke oplossing voor het configureren van een bewakingspoort, vergelijkbaar met een SPAN-poort. Een SPAN-poort op uw switch spiegelt het lokale verkeer van interfaces op de switch naar een andere interface op dezelfde switch.

Verbind de doelswitch met uw OT-netwerksensor om verkeer te bewaken met Defender for IoT.

Promiscuous-modus is een bewerkingsmodus en een beveiligings-, bewakings- en beheertechniek die is gedefinieerd op het niveau van de virtuele switch of portgroep. Wanneer de promiscuous-modus wordt gebruikt, kan elk van de netwerkinterfaces van de virtuele machine in dezelfde poortgroep al het netwerkverkeer weergeven dat via die virtuele switch gaat. Standaard is de promiscueuze modus uitgeschakeld.

Zie voor meer informatie:

Volgende stappen