Configurar o espelhamento de porta
Aplica-se a: Advanced Threat Analytics versão 1.9
Observação
Este artigo é relevante somente se você implantar ATA Gateways em vez de ATA Lightweight Gateways. Para determinar se você precisa usar ATA Gateways, consulte Escolher os gateways corretos para sua implantação.
A principal fonte de dados usada pelo ATA é a inspeção profunda de pacotes do tráfego de rede de e para os seus controladores de domínio. Para que o ATA veja o tráfego de rede, você deve configurar o espelhamento de porta ou usar um TAP de rede.
Para espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio a ser monitorado, como a origem do tráfego de rede. Normalmente, você precisará trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de porta. Para obter mais informações, confira a documentação do servidor.
Seus controladores de domínio e ATA Gateways podem ser físicos ou virtuais. A seguir estão os métodos comuns para espelhamento de porta e algumas considerações. Para obter mais informações, consulte a documentação de produto do seu comutador (switch) ou servidor de virtualização. O fabricante do comutador pode usar uma terminologia diferente.
Switched Port Analyzer (SPAN) – Copia o tráfego de rede de uma ou mais portas de comutador para outra porta no mesmo comutador. O ATA Gateway e os controladores de domínio devem estar conectados ao mesmo comutador (switch) físico.
Remote Switch Port Analyzer (RSPAN) – Permite monitorar o tráfego de rede das portas de origem distribuídas em vários comutadores físicos. O RSPAN copia o tráfego de origem em uma VLAN especial configurada pelo RSPAN. Essa VLAN precisa ser colocada em tronco para os outros comutadores envolvidos. O RSPAN atua na Camada 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – É uma tecnologia proprietária da Cisco que atua na Camada 3. O ERSPAN permite que você monitore o tráfego entre comutadores sem a necessidade de troncos VLAN. O ERSPAN usa o encapsulamento de roteamento genérico (GRE) para copiar o tráfego de rede monitorado. No momento, o ATA não pode receber o tráfego ERSPAN diretamente. Para que o ATA funcione com o tráfego ERSPAN, um comutador ou roteador que possa desencapsular o tráfego precisa ser configurado como o destino do ERSPAN onde o tráfego é desencapsulado. Em seguida, configure o comutador ou roteador para encaminhar o tráfego desencapsulado para o ATA Gateway usando SPAN ou RSPAN.
Observação
Se o controlador de domínio que está sendo espelhado estiver conectado por um link WAN, verifique se o link WAN pode lidar com a carga adicional do tráfego ERSPAN. O ATA só oferece suporte ao monitoramento de tráfego quando o tráfego atinge a NIC e o controlador de domínio da mesma maneira. O ATA não oferece suporte ao monitoramento de tráfego quando o tráfego sai para portas diferentes.
Opções suportadas de espelhamento de porta
| ATA Gateway | Controlador de domínio | Considerações |
|---|---|---|
| Virtual | Virtual no mesmo host | O comutador virtual precisa oferecer suporte ao espelhamento de porta. Mover uma das máquinas virtuais para outro host por si só pode interromper o espelhamento de porta. |
| Virtual | Virtual em diferentes hosts | Certifique-se de que o comutador virtual suporta esse cenário. |
| Virtual | Físico | Requer um adaptador de rede dedicado, caso contrário, o ATA vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o ATA Center. |
| Físico | Virtual | Certifique-se de que o comutador virtual ofereça suporte a esse cenário - e a configuração de espelhamento de porta em seus comutadores físicos com base no cenário: Se o host virtual estiver no mesmo comutador físico, você precisará configurar uma extensão em nível de comutador. Se o host virtual estiver em um comutador diferente, você precisará configurar o RSPAN ou o ERSPAN*. |
| Físico | Físico no mesmo comutador | O comutador físico deve oferecer suporte a SPAN/espelhamento de porta. |
| Físico | Físico em um comutador diferente | Requer comutadores físicos para dar suporte a RSPAN ou ERSPAN*. |
* O ERSPAN só é suportado quando a descapsulação é realizada antes que o tráfego seja analisado pelo ATA.
Observação
Certifique-se de que os controladores de domínio e os ATA Gateways aos quais eles se conectam tenham tempo sincronizado dentro de cinco minutos um do outro.
Se você estiver trabalhando com clusters de virtualização:
- Para cada controlador de domínio em execução no cluster de virtualização em uma máquina virtual com o ATA Gateway, configure a afinidade entre o controlador de domínio e o ATA Gateway. Dessa forma, quando o controlador de domínio se move para outro host no cluster, o ATA Gateway o segue. Isso funciona bem quando há alguns controladores de domínio.
Observação
Se o seu ambiente suporta Virtual para Virtual em hosts diferentes (RSPAN), você não precisa se preocupar com afinidade.
- Para garantir que os ATA Gateways estejam devidamente dimensionados para lidar com o monitoramento de todos os DCs por si só, tente esta opção: instale uma máquina virtual em cada host de virtualização e instale um ATA Gateway em cada host. Configure cada ATA Gateway para monitorar todos os controladores de domínio executados no cluster. Dessa forma, qualquer host em que os controladores de domínio são executados é monitorado.
Depois de configurar o espelhamento de porta, valide se o espelhamento de porta está funcionando antes de instalar o ATA Gateway.