Pilih metode pencerminan lalu lintas untuk sensor OT

  • Artikel

Artikel ini adalah salah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Microsoft Defender untuk IoT, dan menjelaskan metode pencerminan lalu lintas yang didukung untuk pemantauan OT dengan Microsoft Defender untuk IoT.

Diagram bilah kemajuan dengan Rencana dan persiapan disorot.

Keputusan tentang metode pencerminan lalu lintas mana yang akan digunakan tergantung pada konfigurasi jaringan Anda dan kebutuhan organisasi Anda.

Untuk memastikan bahwa Defender for IoT hanya menganalisis lalu lintas yang ingin Anda pantau, kami sarankan Anda mengonfigurasi pencerminan lalu lintas pada switch atau titik akses terminal (TAP) yang hanya mencakup lalu lintas ICS dan SCADA industri.

Catatan

SPAN dan RSPAN adalah terminologi Cisco. Merek switch lain memiliki fungsi yang sama tetapi mungkin menggunakan terminologi yang berbeda.

Mencerminkan rekomendasi cakupan port

Sebaiknya konfigurasikan pencerminan lalu lintas Anda dari semua port switch Anda, meskipun tidak ada data yang terhubung dengannya. Jika tidak, perangkat nakal nantinya dapat dihubungkan ke port yang tidak dipantau, dan perangkat tersebut tidak akan terdeteksi oleh sensor jaringan Defender for IoT.

Untuk jaringan OT yang menggunakan pesan siaran atau multicast, konfigurasikan pencerminan lalu lintas hanya untuk transmisi RX (Terima). Pesan multicast akan diulang untuk port aktif yang relevan, dan Anda akan menggunakan lebih banyak bandwidth yang tidak perlu.

Membandingkan metode pencerminan lalu lintas yang didukung

Defender for IoT mendukung metode berikut:

Metode Deskripsi Informasi selengkapnya
Port SPAN switch Mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama Mengonfigurasi pencerminan dengan port SPAN switch
Port Remote SPAN (RSPAN) Mencerminkan lalu lintas dari beberapa port sumber terdistribusi ke VLAN jarak jauh khusus Port Remote SPAN (RSPAN)

Mengonfigurasi pencerminan lalu lintas dengan port Remote SPAN (RSPAN)
Agregasi aktif atau pasif (TAP) Menginstal TAP agregasi aktif/pasif sebaris ke kabel jaringan Anda, yang menduplikasi lalu lintas ke sensor jaringan OT. Metode terbaik untuk pemantauan forensik. Agregasi aktif atau pasif (TAP)
Penganalisis port teralihkan jarak jauh (ERSPAN) yang dienkapsulasi Mencerminkan antarmuka input ke antarmuka pemantauan sensor OT Anda Port ERSPAN

Memperbarui antarmuka pemantauan sensor (mengonfigurasi ERSPAN).
ESXi vSwitch Mencerminkan lalu lintas menggunakan mode Promiscuous pada ESXi vSwitch. Pencerminan lalu lintas dengan sakelar virtual

Mengonfigurasi pencerminan lalu lintas dengan ESXi vSwitch.
Hyper-V vSwitch Mencerminkan lalu lintas menggunakan mode Promiscuous pada Hyper-V vSwitch. Pencerminan lalu lintas dengan sakelar virtual

Mengonfigurasi pencerminan lalu lintas dengan Hyper-V vSwitch

Port Remote SPAN (RSPAN)

Konfigurasikan sesi SPAN jarak jauh (RSPAN) pada sakelar Anda untuk mencerminkan lalu lintas dari beberapa port sumber terdistribusi ke dalam VLAN jarak jauh khusus.

Data dalam VLAN kemudian dikirimkan melalui port berbatas, di beberapa sakelar ke sakelar tertentu yang berisi port tujuan fisik. Sambungkan port tujuan ke sensor jaringan OT Anda untuk memantau lalu lintas dengan Defender for IoT.

Diagram berikut menunjukkan contoh arsitektur VLAN jarak jauh:

Diagram VLAN jarak jauh.

Untuk informasi selengkapnya, lihat Mengonfigurasi pencerminan lalu lintas dengan port Remote SPAN (RSPAN).

Agregasi aktif atau pasif (TAP)

Saat menggunakan agregasi aktif atau pasif untuk mencerminkan lalu lintas, titik akses terminal agregasi aktif atau pasif (TAP) dipasang sebaris ke kabel jaringan. TAP menduplikasi lalu lintas Terima dan Kirim ke sensor jaringan OT sehingga Anda dapat memantau lalu lintas dengan Defender untuk IoT.

TAP adalah perangkat keras yang memungkinkan lalu lintas jaringan mengalir bolak-balik antar port tanpa gangguan. TAP membuat salinan yang tepat dari kedua sisi arus lalu lintas, terus menerus, tanpa mengorbankan integritas jaringan.

Contohnya:

Diagram TAP aktif dan pasif.

Beberapa TAP mengagregasi Penerimaan dan Transmisi, tergantung pada konfigurasi pengalihan. Jika sakelar Anda tidak mendukung agregasi, setiap TAP menggunakan dua port pada sensor jaringan OT Anda untuk memantau lalu lintas Terima dan Kirim .

Keuntungan mencerminkan lalu lintas dengan TAP

Kami merekomendasikan TAP terutama ketika pencerminan lalu lintas untuk tujuan forensik. Keuntungan mencerminkan lalu lintas dengan TAP meliputi:

  • TAP berbasis perangkat keras dan tidak dapat disalahgunakan

  • TAP melewati semua lalu lintas, bahkan pesan rusak yang sering dihilangkan oleh sakelar

  • TAP tidak sensitif terhadap prosesor, yang berarti bahwa waktu paket sudah tepat. Sebaliknya, sakelar menangani fungsi pencerminan sebagai tugas berprioritas rendah, yang dapat memengaruhi waktu paket cermin.

Anda juga dapat menggunakan agregator TAP untuk memantau port lalu lintas Anda. Namun, agregator TAP tidak berbasis prosesor, dan tidak seaman secara intrinsik seperti TAP perangkat keras. Agregator TAP mungkin tidak mencerminkan waktu paket yang tepat.

Model TAP umum

Model TAP berikut telah diuji kompatibilitasnya dengan Defender untuk IoT. Vendor dan model lain mungkin juga kompatibel.

  • Garland P1GCCAS

    Saat menggunakan TAP Garland, pastikan untuk menyiapkan jaringan Anda untuk mendukung agregasi. Untuk informasi selengkapnya, lihat diagram Ketuk Agregasi di bawah tab Diagram Jaringan di panduan penginstalan Garland.

  • IXIA TPA2-CU3

    Saat menggunakan Ixia TAP, pastikan mode Agregasi aktif. Untuk informasi selengkapnya, lihat panduan penginstalan Ixia.

  • US Robotics USR 4503

    Saat menggunakan TAP Robotika AS, pastikan untuk mengaktifkan mode agregasi dengan mengatur sakelar yang dapat dipilih ke AGG. Untuk informasi selengkapnya, lihat panduan penginstalan Robotika AS.

Port ERSPAN

Gunakan penganalisis port remote switched (ERSPAN) yang dienkapsulasi untuk mencerminkan antarmuka input melalui jaringan IP ke antarmuka pemantauan sensor OT Anda, saat mengamankan jaringan jarak jauh dengan Defender for IoT.

Antarmuka pemantauan sensor adalah antarmuka promiscuous dan tidak memiliki alamat IP yang dialokasikan secara khusus. Ketika dukungan ERSPAN dikonfigurasi, payload lalu lintas yang dienkapsulasi ERSPAN dengan enkaplasi terowongan GRE akan dianalisis oleh sensor.

Gunakan enkaplasi ERSPAN saat ada kebutuhan untuk memperluas lalu lintas yang dipantau di seluruh domain Lapisan 3. ERSPAN adalah fitur kepemilikan Cisco dan hanya tersedia pada router dan sakelar tertentu. Untuk informasi selengkapnya, lihat dokumentasi Cisco.

Catatan

Artikel ini menyediakan panduan tingkat tinggi untuk mengonfigurasi pencerminan lalu lintas dengan ERSPAN. Detail implementasi tertentu akan bervariasi tergantung pada vendor equiptment Anda.

Arsitektur ERSPAN

Sesi ERSPAN mencakup sesi sumber dan sesi tujuan yang dikonfigurasi pada sakelar yang berbeda. Antara sakelar sumber dan tujuan, lalu lintas dienkapsulasi di GRE, dan dapat dirutekan melalui jaringan lapisan 3.

Contohnya:

Diagram lalu lintas yang dicerminkan dari jaringan celah udara atau industri ke sensor jaringan OT menggunakan ERSPAN.

ERSPAN mengangkut lalu lintas cermin melalui jaringan IP menggunakan proses berikut:

  1. Router sumber merangkum lalu lintas dan mengirim paket melalui jaringan.
  2. Di router tujuan, paket tidak dibatasi dan dikirim ke antarmuka tujuan.

Opsi sumber ERSPAN mencakup elemen seperti:

  • Port Ethernet dan saluran port
  • Vlan; semua antarmuka yang didukung di VLAN adalah sumber ERSPAN
  • Saluran port fabric
  • Port satelit dan saluran port antarmuka host

Untuk informasi selengkapnya, lihat Memperbarui antarmuka pemantauan sensor (mengonfigurasi ERSPAN).

Pencerminan lalu lintas dengan sakelar virtual

Meskipun sakelar virtual tidak memiliki kemampuan pencerminan, Anda dapat menggunakan mode Promiscuous di lingkungan sakelar virtual sebagai solusi untuk mengonfigurasi port pemantauan, mirip dengan port SPAN. Port SPAN pada sakelar Anda mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama.

Sambungkan sakelar tujuan ke sensor jaringan OT Anda untuk memantau lalu lintas dengan Defender for IoT.

Mode promiscuous adalah mode operasi dan keamanan, pemantauan dan teknik administrasi, yang didefinisikan pada sakelar virtual, atau tingkat portgroup. Saat mode promiscuous digunakan, antarmuka jaringan mesin virtual mana pun yang berada di grup port yang sama dapat melihat semua lalu lintas jaringan yang melewati pengalihan virtual itu. Secara default, mode promiscuous dinonaktifkan.

Untuk informasi selengkapnya, lihat:

Langkah berikutnya

« Menyiapkan penyebaran situs OT