Configurare il mirroring delle porte
Si applica a: Advanced Threat Analytics versione 1.9
Nota
Questo articolo è rilevante solo se si distribuiscono gateway ATA anziché gateway ATA Lightweight. Per determinare se è necessario usare i gateway ATA, vedere Scelta dei gateway corretti per la distribuzione.
L'origine dati principale usata da ATA è un'ispezione approfondita del traffico di rete da e verso i controller di dominio. Affinché ATA visualizzi il traffico di rete, è necessario configurare il mirroring delle porte o usare un TAP di rete.
Per il mirroring delle porte, configurare il mirroring delle porte per ogni controller di dominio da monitorare, come origine del traffico di rete. In genere, è necessario collaborare con il team di rete o di virtualizzazione per configurare il mirroring delle porte. Per altre informazioni, vedere la documentazione del fornitore.
I controller di dominio e i gateway ATA possono essere fisici o virtuali. Di seguito sono riportati i metodi comuni per il mirroring delle porte e alcune considerazioni. Per altre informazioni, vedere la documentazione del prodotto switch o virtualization server. Il produttore del commutatore potrebbe usare una terminologia diversa.
Switched Port Analyzer (SPAN): copia il traffico di rete da una o più porte switch a un'altra porta switch sullo stesso commutatore. Sia il gateway ATA che i controller di dominio devono essere connessi allo stesso commutatore fisico.
Remote Switch Port Analyzer (RSPAN): consente di monitorare il traffico di rete dalle porte di origine distribuite su più commutatori fisici. RSPAN copia il traffico di origine in una speciale VLAN configurata in RSPAN. Questa VLAN deve essere inserita in trunk negli altri commutatori coinvolti. RSPAN funziona al livello 2.
Analizzatore porta commutatore remoto incapsulato (ERSPAN): tecnologia proprietaria Cisco che lavora al livello 3. ERSPAN consente di monitorare il traffico tra commutatori senza la necessità di trunk VLAN. ERSPAN usa l'incapsulamento generico (GRE) per copiare il traffico di rete monitorato. ATA attualmente non può ricevere direttamente il traffico ERSPAN. Affinché ATA funzioni con il traffico ERSPAN, un commutatore o un router che può decompilare il traffico deve essere configurato come destinazione di ERSPAN in cui il traffico viene decapsulato. Configurare quindi l'opzione o il router per inoltrare il traffico decapsulato al gateway ATA usando SPAN o RSPAN.
Nota
Se il controller di dominio con mirroring della porta è connesso tramite un collegamento WAN, assicurarsi che il collegamento WAN possa gestire il carico aggiuntivo del traffico ERSPAN. ATA supporta solo il monitoraggio del traffico quando il traffico raggiunge la scheda di interfaccia di rete e il controller di dominio nello stesso modo. ATA non supporta il monitoraggio del traffico quando il traffico viene suddiviso in porte diverse.
Opzioni di mirroring delle porte supportate
| ATA Gateway | Controller di dominio | Considerazioni |
|---|---|---|
| Le macchine | Virtuale nello stesso host | Il commutatore virtuale deve supportare il mirroring delle porte. Lo spostamento di una delle macchine virtuali in un altro host può interrompere il mirroring delle porte. |
| Le macchine | Virtuale in host diversi | Assicurarsi che il commutatore virtuale supporti questo scenario. |
| Le macchine | Fisico | Richiede una scheda di rete dedicata altrimenti ATA vede tutto il traffico in arrivo e in uscita dall'host, anche il traffico inviato al Centro ATA. |
| Fisico | Le macchine | Assicurarsi che il commutatore virtuale supporti questo scenario e la configurazione del mirroring delle porte nei commutatori fisici in base allo scenario: Se l'host virtuale si trova nello stesso commutatore fisico, è necessario configurare un intervallo a livello di commutatore. Se l'host virtuale si trova in un commutatore diverso, è necessario configurare RSPAN o ERSPAN*. |
| Fisico | Fisico sullo stesso commutatore | Il commutatore fisico deve supportare span/port mirroring. |
| Fisico | Fisico su un commutatore diverso | Richiede commutatori fisici per supportare RSPAN o ERSPAN*. |
* ERSPAN è supportato solo quando viene eseguita la decapsulation prima che il traffico venga analizzato da ATA.
Nota
Assicurarsi che i controller di dominio e i gateway ATA a cui si connettono abbiano il tempo sincronizzato entro cinque minuti l'uno dall'altro.
Se si lavora con i cluster di virtualizzazione:
- Per ogni controller di dominio in esecuzione nel cluster di virtualizzazione in una macchina virtuale con il gateway ATA, configurare l'affinità tra il controller di dominio e il gateway ATA. In questo modo, quando il controller di dominio passa a un altro host nel cluster, il gateway ATA lo segue. Questo funziona bene quando sono presenti alcuni controller di dominio.
Nota
Se il supporto ambientale virtuale da virtuale a virtuale in host diversi (RSPAN) non è necessario preoccuparsi dell'affinità.
- Per assicurarsi che i gateway ATA siano dimensionati correttamente per gestire il monitoraggio di tutti i controller di dominio autonomamente, provare questa opzione: Installare una macchina virtuale in ogni host di virtualizzazione e installare un gateway ATA in ogni host. Configurare ogni gateway ATA per monitorare tutti i controller di dominio eseguiti nel cluster. In questo modo, viene monitorato qualsiasi host in cui vengono eseguiti i controller di dominio.
Dopo aver configurato il mirroring delle porte, verificare che il mirroring delle porte funzioni prima di installare il gateway ATA.