Configurar o espelhamento de tráfego com um ESXi vSwitch
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Este artigo descreve como usar o Modo promíscuo em um ambiente ESXi vSwitch como uma solução alternativa para configurar o espelhamento de tráfego, semelhante a uma porta SPAN. Uma porta SPAN em seu comutador espelha o tráfego local das interfaces no comutador para uma interface diferente no mesmo comutador.
Para obter mais informações, consulte Espelhamento de tráfego com comutadores virtuais.
Pré-requisitos
Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender para IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
Configurar uma interface de monitoramento usando o modo Promíscuo
Para configurar uma interface de monitoramento com o modo Promíscuo em um ESXi v-Switch:
Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.
Insira a Rede SPAN como o rótulo de rede.
No campo MTU, insira 4096.
Selecione Segurança e verifique se a política do Modo Promíscuo está definida como modo Aceitar.
Selecione Adicionar para fechar as propriedades do vSwitch.
Realce o vSwitch que você acabou de criar e selecione Adicionar uplink.
Selecione a NIC física que você usará para o tráfego SPAN, altere a MTU para 4096 e selecione Salvar.
Abra a página propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.
Insira Grupo de Portas SPAN como o nome, insira 4095 como a ID da VLAN e selecione Rede SPAN na lista suspensa vSwitch e, em seguida, selecione Adicionar.
Abra as propriedades da VM do Sensor de OT.
Para o Adaptador de Rede 2, selecione a rede SPAN.
Selecione OK.
Conecte-se ao sensor e verifique se o espelhamento funciona.
Validar o espelhamento de tráfego
Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.
Um exemplo de arquivo PCAP ajudará você a:
- Validar a configuração de comutador
- Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
- Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.
Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.
Verifique se os protocolos de OT estão presentes no tráfego analisado.
Por exemplo: