選擇 OT 感應器的流量鏡像方法
本文是系列文章中的其中一篇,說明使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑,並說明使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的支援流量鏡像方法。
要使用哪個流量鏡像方法的決策取決於網路設定和組織的需求。
為了確保適用於 IoT 的 Defender 只會分析您想要監視的流量,建議您在交換器或終端機存取點 (TAP) 上設定流量鏡像,其中只包含工業 ICS 和 SCADA 流量。
注意
SPAN 和 RSPAN 是 Cisco 術語。 其他品牌的交換器具有類似的功能,但可能使用不同的術語。
鏡像連接埠範圍建議
建議您設定從所有交換器的連接埠鏡像處理的流量,即使沒有連線到其中的資料也一樣。 如果您沒有設定,Rogue 裝置稍後可以連線到未受監視的連接埠,且適用於 IoT 的 Defender 網路感應器不會偵測到那些裝置。
對於使用廣播或多點傳送傳訊的 OT 網路,請僅針對 RX (接收) 傳輸設定流量鏡像。 任何相關作用中連接埠都會重複多點傳送訊息,您將會使用更多不必要的頻寬。
比較支援的流量鏡像方法
適用於 IoT 的 Defender 支援下列方法:
方法 | 描述 | 詳細資訊 |
---|---|---|
交換器 SPAN 連接埠 | 將交換器上介面的本地流量鏡像處理到相同交換器上的不同介面 | 使用交換器 SPAN 連接埠來設定鏡像處理 |
遠端 SPAN (RSPAN) 連接埠 | 將來自多個分散式來源連接埠的流量鏡像處理至專用的遠端 VLAN | 遠端 SPAN (RSPAN) 連接埠 使用遠端 SPAN (RSPAN) 連接埠設定流量鏡像 |
主動或被動彙總 (TAP) | 將主動 / 被動彙總 TAP 內嵌安裝到網路纜線,這麼做會複製 OT 網路感應器的流量。 鑒識監視的最佳方法。 | 主動或被動彙總 (TAP) |
封裝的遠端交換連接埠分析器 (ERSPAN) | 將輸入介面鏡像處理到 OT 感應器的監視介面 | ERSPAN 連接埠 更新感應器的監視介面 (設定 ERSPAN)。 |
ESXi vSwitch | 在 ESXi vSwitch 上使用 Promiscuous 模式來對流量進行鏡像處理。 | 使用虛擬交換器的流量鏡像 使用 ESXi vSwitch 設定流量鏡像。 |
Hyper-V vSwitch | 在 Hyper-V vSwitch 上使用 Promiscuous 模式來對流量進行鏡像處理。 | 使用虛擬交換器的流量鏡像 使用 Hyper-V vSwitch 設定流量鏡像 |
遠端 SPAN (RSPAN) 連接埠
設定交換器上的遠端 SPAN (RSPAN) 工作階段,將來自多個分散式來源連接埠的流量鏡像處理至專用的遠端 VLAN。
然後,VLAN 中的資料會透過跨多個交換器的主幹連接埠,傳遞至包含實體目的地連接埠的特定交換器。 將目的地連接埠連線至 OT 網路感應器,以使用適用於 IoT 的 Defender 監視流量。
下圖顯示遠端 VLAN 架構的範例:
如需詳細資訊,請參閱使用遠端 SPAN (RSPAN) 連接埠設定流量鏡像。
主動或被動彙總 (TAP)
使用主動或被動彙總來對流量進行鏡像時,主動或被動彙總終端存取點 (TAP) 會以內嵌方式安裝到網路纜線。 TAP 會將「接收」和「傳輸」流量複製到 OT 網路感應器,讓您可以使用適用於 IoT 的 Defender 監視流量。
TAP 是一種硬體裝置,可讓網路流量在連接埠之間來回流動,而不會中斷。 TAP 會連續不斷地建立流量流程兩端的確切複本,而不會危害網路完整性。
例如:
某些 TAP 會根據交換器設定來同時彙總「接收」和「傳輸」。 如果您的交換器不支援彙總,則每個 TAP 都會在 OT 網路感應器上使用兩個連接埠來監視「接收」和「傳輸」流量。
使用 TAP 對流量進行鏡像的優點
針對鑑識目的進行流量鏡像時,我們特別建議使用 TAP。 使用 TAP 進行鏡像流量的優點包括:
TAP 是以硬體為基礎,且無法被入侵
TAP 會傳遞所有流量,甚至是交換器經常捨棄的損毀訊息
TAP 不會區分處理器,這表示封包時間是確切的。 相反地,交換器會將鏡像功能當作低優先順序工作來處理,這可能會影響鏡像封包的時間。
您也可以使用 TAP 彙總工具來監視流量連接埠。 不過,TAP 彙總工具不是以處理器為基礎,而且本質上不如硬體 TAP 安全。 TAP 彙總工具可能無法反映確切的封包時間。
常見 TAP 模型
下列 TAP 模型已經過測試,以便與適用於 IoT 的 Defender 相容。 其他廠商和模型也可能相容。
Garland P1GCCAS
使用 Garland TAP 時,務必設定網路以支援彙總。 如需詳細資訊,請參閱 Garland 安裝指南中 [網路圖表] 索引標籤底下的 [Tap 彙總] 圖表。
IXIA TPA2-CU3
使用 Ixia TAP 時,請確定彙總模式為作用中。 如需詳細資訊,請參閱 Ixia 安裝指南。
US Robotics USR 4503
使用 US Robotics TAP 時,務必將可選取的參數設定為 AGG 來切換彙總模式。 如需詳細資訊,請參閱 US Robotics 安裝指南。
ERSPAN 連接埠
使用封裝遠端交換連接埠分析器 (ERSPAN),在使用適用於 IoT 的 Defender 保護遠端網路時,透過 IP 網路將輸入介面鏡像處理到 OT 感應器的監視介面。
感應器的監視介面是一個混合介面,而且沒有特別配置的 IP 位址。 設定 ERSPAN 支援時,感應器會分析使用 GRE 通道封裝所封裝的 ERSPAN 流量承載。
當需要跨第 3 層網域擴充受監視的流量時,請使用 ERSPAN 封裝。 ERSPAN 是 Cisco 專屬功能,僅適用於特定路由器和交換器。 如需詳細資訊,請參閱 Cisco 文件。
注意
本文提供使用 ERSPAN 設定流量鏡像的高階指引。 特定實作詳細資料會隨著您的設備廠商而有所不同。
ERSPAN 架構
ERSPAN 工作階段包括來源工作階段,以及在不同交換器上設定的目的地工作階段。 在來源和目的地交換器之間,流量會封裝在 GRE 中,並可透過第 3 層網路進行路由傳送。
例如:
ERSPAN 會使用下列程序,透過 IP 網路傳輸鏡像流量:
- 來源路由器會封裝流量並透過網路傳送封包。
- 在目的地路由器上,封包會取消封裝並傳送至目的地介面。
ERSPAN 來源選項包含下列元素:
- 乙太網路連接埠和連接埠通道
- Vlan;VLAN 中所有支援的介面都是 ERSPAN 來源
- 網狀架構連接埠通道
- 衛星連接埠和主機介面連接埠通道
如需詳細資訊,請參閱更新感應器的監視介面 (設定 ERSPAN)。
使用虛擬交換器的流量鏡像
雖然虛擬交換器沒有鏡像功能,但您可以在虛擬交換器環境中使用「混合模式」作為設定監視連接埠 (類似於 SPAN 連接埠) 的因應措施。 交換器上的 SPAN 連接埠會將交換器上介面的本地流量鏡像處理到相同交換器上的不同介面。
將目的地交換器連線至 OT 網路感應器,以使用適用於 IoT 的 Defender 監視流量。
「混合模式」是一種作業模式,以及虛擬交換器或埠群組層級所定義的安全性、監視與管理技術。 使用混合模式時,相同埠群組中的任何虛擬機器網路介面都可以檢視通過該虛擬交換器的所有網路流量。 根據預設,會關閉混合模式。
如需詳細資訊,請參閱