Configurar espelhamento de porta
Aplica-se a: Advanced Threat Analytics versão 1.9
Nota
Este artigo é relevante somente se você implantar Gateways ATA em vez de Gateways Leves ATA. Para determinar se você precisa usar gateways ATA, consulte Escolhendo os gateways certos para sua implantação.
A principal fonte de dados usada pelo ATA é a inspeção profunda de pacotes do tráfego de rede de e para seus controladores de domínio. Para que o ATA veja o tráfego de rede, você deve configurar o espelhamento de porta ou usar um TAP de rede.
Para espelhamento de porta, configure o espelhamento de porta para cada controlador de domínio a ser monitorado, como a origem do tráfego de rede. Normalmente, você precisa trabalhar com a equipe de rede ou virtualização para configurar o espelhamento de portas. Para obter mais informações, consulte a documentação do fornecedor.
Seus controladores de domínio e gateways ATA podem ser físicos ou virtuais. A seguir estão métodos comuns para espelhamento de porta e algumas considerações. Para obter mais informações, consulte a documentação do produto do switch ou do servidor de virtualização. O fabricante do comutador pode usar terminologia diferente.
SPAN (Switched Port Analyzer) – Copia o tráfego de rede de uma ou mais portas de switch para outra porta de switch no mesmo switch. O Gateway ATA e os controladores de domínio devem estar conectados ao mesmo comutador físico.
Remote Switch Port Analyzer (RSPAN) – Permite monitorar o tráfego de rede a partir de portas de origem distribuídas por vários switches físicos. O RSPAN copia o tráfego de origem para uma VLAN especial configurada pelo RSPAN. Essa VLAN precisa ser entroncada para os outros switches envolvidos. O RSPAN funciona na Camada 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – É uma tecnologia proprietária da Cisco que trabalha na Camada 3. O ERSPAN permite monitorar o tráfego entre switches sem a necessidade de troncos VLAN. O ERSPAN usa o encapsulamento de roteamento genérico (GRE) para copiar o tráfego de rede monitorado. Atualmente, o ATA não pode receber diretamente o tráfego ERSPAN. Para que o ATA funcione com o tráfego ERSPAN, um switch ou roteador que possa descapsular o tráfego precisa ser configurado como o destino do ERSPAN onde o tráfego é descapsulado. Em seguida, configure o switch ou roteador para encaminhar o tráfego descapsulado para o Gateway ATA usando SPAN ou RSPAN.
Nota
Se o controlador de domínio que está sendo espelhado estiver conectado por um link WAN, verifique se o link WAN pode lidar com a carga adicional do tráfego ERSPAN. O ATA só oferece suporte ao monitoramento de tráfego quando o tráfego atinge a NIC e o controlador de domínio da mesma maneira. O ATA não suporta monitoramento de tráfego quando o tráfego é dividido para portas diferentes.
Opções de espelhamento de porta suportadas
| ATA Gateway | Controlador de Domínio | Considerações |
|---|---|---|
| Virtual | Virtual no mesmo host | O comutador virtual precisa suportar espelhamento de porta. Mover uma das máquinas virtuais para outro host por si só pode quebrar o espelhamento da porta. |
| Virtual | Virtual em diferentes anfitriões | Certifique-se de que o comutador virtual suporta este cenário. |
| Virtual | Físico | Requer um adaptador de rede dedicado, caso contrário, o ATA vê todo o tráfego que entra e sai do host, até mesmo o tráfego que ele envia para o Centro do ATA. |
| Físico | Virtual | Certifique-se de que o comutador virtual suporta este cenário - e a configuração de espelhamento de porta nos comutadores físicos com base no cenário: Se o host virtual estiver no mesmo comutador físico, você precisará configurar uma extensão de nível de switch. Se o host virtual estiver em um switch diferente, você precisará configurar RSPAN ou ERSPAN*. |
| Físico | Físico no mesmo interruptor | O switch físico deve suportar SPAN/espelhamento de porta. |
| Físico | Físico em um interruptor diferente | Requer comutadores físicos para suportar RSPAN ou ERSPAN*. |
* O ERSPAN só é suportado quando a descapsulação é realizada antes de o tráfego ser analisado pela ATA.
Nota
Certifique-se de que os controladores de domínio e os gateways ATA aos quais eles se conectam têm tempo sincronizado dentro de cinco minutos um do outro.
Se você estiver trabalhando com clusters de virtualização:
- Para cada controlador de domínio em execução no cluster de virtualização em uma máquina virtual com o Gateway ATA, configure a afinidade entre o controlador de domínio e o Gateway ATA. Dessa forma, quando o controlador de domínio se move para outro host no cluster, o Gateway ATA o segue. Isso funciona bem quando há alguns controladores de domínio.
Nota
Se o seu ambiente suporta Virtual to Virtual em hosts diferentes (RSPAN), você não precisa se preocupar com afinidade.
- Para garantir que os Gateways ATA estejam dimensionados corretamente para lidar com o monitoramento de todos os DCs sozinhos, tente esta opção: Instale uma máquina virtual em cada host de virtualização e instale um Gateway ATA em cada host. Configure cada Gateway ATA para monitorar todos os controladores de domínio executados no cluster. Dessa forma, qualquer host em que os controladores de domínio são executados é monitorado.
Depois de configurar o espelhamento de porta, valide se o espelhamento de porta está funcionando antes de instalar o Gateway ATA.