Condividi tramite

Scegliere un metodo di mirroring del traffico per i sensori OT

  • Articolo

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive i metodi di mirroring del traffico supportati per il monitoraggio OT con Microsoft Defender per IoT.

Diagramma di una barra di stato con Piano e preparazione evidenziata.

La decisione su quale metodo di mirroring del traffico usare dipende dalla configurazione di rete e dalle esigenze dell'organizzazione.

Per assicurarsi che Defender per IoT analizzi solo il traffico da monitorare, è consigliabile configurare il mirroring del traffico su un commutatore o un punto di accesso terminale (TAP) che include solo il traffico ICS industriale e SCADA.

Nota

SPAN e RSPAN sono terminologia Cisco. Altri marchi di commutatori hanno funzionalità simili, ma potrebbero usare terminologia diversa.

Raccomandazioni per l'ambito della porta di mirroring

È consigliabile configurare il mirroring del traffico da tutte le porte del commutatore, anche se non sono connessi dati. In caso contrario, i dispositivi non autorizzati possono essere connessi in un secondo momento a una porta non monitorata e tali dispositivi non verranno rilevati dai sensori di rete Defender per IoT.

Per le reti OT che usano la trasmissione o la messaggistica multicast, configurare il mirroring del traffico solo per le trasmissioni RX (Receive). I messaggi multicast verranno ripetuti per tutte le porte attive pertinenti e si userà più larghezza di banda inutilmente.

Confrontare i metodi di mirroring del traffico supportati

Defender per IoT supporta i metodi seguenti:

Metodo Descrizione Altre informazioni
Porta SPAN del commutatore Esegue il mirroring del traffico locale dalle interfacce sul commutatore a un'interfaccia diversa nello stesso commutatore Configurare il mirroring con una porta SPAN switch
Porta REMOTE SPAN (RSPAN) Esegue il mirroring del traffico da più porte di origine distribuite in una VLAN remota dedicata Porte REMOTE SPAN (RSPAN)

Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN)
Aggregazione attiva o passiva (TAP) Installa un tap di aggregazione attivo/passivo sul cavo di rete, che duplica il traffico al sensore di rete OT. Metodo migliore per il monitoraggio forense. Aggregazione attiva o passiva (TAP)
Analizzatore porta commutata remota incapsulata (ERSPAN) Mirroring delle interfacce di input all'interfaccia di monitoraggio del sensore OT Porte ERSPAN

Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).
Un ESXi vSwitch Esegue il mirroring del traffico usando la modalità promiscua in un ESXi vSwitch. Mirroring del traffico con commutatori virtuali

Configurare il mirroring del traffico con un VSXi vSwitch.
Oggetto Hyper-V vSwitch Esegue il mirroring del traffico usando la modalità promiscua in un vSwitch Hyper-V. Mirroring del traffico con commutatori virtuali

Configurare il mirroring del traffico con un vSwitch Hyper-V

Porte REMOTE SPAN (RSPAN)

Configurare una sessione SPAN remota (RSPAN) nel passaggio al traffico mirror da più porte di origine distribuite in una VLAN remota dedicata.

I dati nella VLAN vengono quindi recapitati tramite porte trunk, tra più commutatori a un commutatore specificato che contiene la porta di destinazione fisica. Connettere la porta di destinazione al sensore di rete OT per monitorare il traffico con Defender per IoT.

Il diagramma seguente illustra un esempio di architettura VLAN remota:

Diagramma della VLAN remota.

Per altre informazioni, vedere Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN).

Aggregazione attiva o passiva (TAP)

Quando si usa l'aggregazione attiva o passiva per il traffico mirroring, un punto di accesso del terminale di aggregazione attivo o passivo (TAP) viene installato inline al cavo di rete. Tap duplica sia Ricezione che Trasmette traffico al sensore di rete OT in modo che sia possibile monitorare il traffico con Defender per IoT.

Un TAP è un dispositivo hardware che consente al traffico di rete di scorrere indietro e indietro tra porte senza interruzioni. Il TAP crea una copia esatta di entrambi i lati del flusso di traffico, in modo continuo, senza compromettere l'integrità della rete.

Ad esempio:

Diagramma dei TAP attivi e passivi.

Alcuni TAP aggregano sia La ricezione che la trasmissione, a seconda della configurazione del commutatore. Se il commutatore non supporta l'aggregazione, ogni TAP usa due porte nel sensore di rete OT per monitorare il traffico di ricezione e trasmissione .

Vantaggi del traffico di mirroring con un TAP

È consigliabile TAP soprattutto quando il mirroring del traffico per scopi forensi. I vantaggi del traffico di mirroring con TAP includono:

  • I TAP sono basati su hardware e non possono essere compromessi

  • I TAP passano tutto il traffico, anche i messaggi danneggiati che spesso vengono eliminati dalle opzioni

  • Le TAP non sono sensibili al processore, il che significa che la tempistica dei pacchetti è esatta. Al contrario, commuta la funzionalità di mirroring come attività a bassa priorità, che può influire sulla tempistica dei pacchetti con mirroring.

È anche possibile usare un aggregatore TAP per monitorare le porte del traffico. Tuttavia, i aggregatori TAP non sono basati sul processore e non sono intrinsecamente sicuri come TAP hardware. I aggregatori TAP potrebbero non riflettere la tempistica esatta dei pacchetti.

Modelli TAP comuni

I modelli TAP seguenti sono stati testati per la compatibilità con Defender per IoT. Anche altri fornitori e modelli possono essere compatibili.

  • Garland P1GCCAS

    Quando si usa un TAP di Garland, assicurarsi di configurare la rete per supportare l'aggregazione. Per altre informazioni, vedere il diagramma Di aggregazione toccare nella scheda Diagrammi di rete nella guida all'installazione di Garland.

  • IXIA TPA2-CU3

    Quando si usa un tocco Ixia, assicurarsi che la modalità aggregazione sia attiva. Per altre informazioni, vedere la guida all'installazione di Ixia.

  • US Robotics USR 4503

    Quando si usa un TAP di US Robotics, assicurarsi di attivare la modalità di aggregazione impostando l'opzione selezionabile su AGG. Per altre informazioni, vedere la guida all'installazione di Us Robotics.

Porte ERSPAN

Usare un analizzatore porta commutata remota (ERSPAN) incapsulato per eseguire il mirroring delle interfacce di input tramite una rete IP all'interfaccia di monitoraggio del sensore OT, durante la protezione delle reti remote con Defender per IoT.

L'interfaccia di monitoraggio del sensore è un'interfaccia promiscua e non ha un indirizzo IP allocato in modo specifico. Quando il supporto di ERSPAN è configurato, i payload del traffico incapsulati da ERSPAN con l'incapsulamento del tunnel GRE verranno analizzati dal sensore.

Usare l'incapsulamento ERSPAN quando è necessario estendere il traffico monitorato tra domini di livello 3. ERSPAN è una funzionalità proprietaria Cisco ed è disponibile solo su router e commutatori specifici. Per altre informazioni, vedere la documentazione di Cisco.

Nota

Questo articolo fornisce indicazioni di alto livello per la configurazione del mirroring del traffico con ERSPAN. I dettagli di implementazione specifici variano a seconda del fornitore di attrezzature.

Architettura ERSPAN

Le sessioni ERSPAN includono una sessione di origine e una sessione di destinazione configurata in opzioni diverse. Tra i commutatori di origine e di destinazione, il traffico viene incapsulato in GRE e può essere instradato su reti di livello 3.

Ad esempio:

Diagramma del traffico mirrorato da una rete air-gapped o industriale a un sensore di rete OT usando ERSPAN.

ERSPAN trasporta il traffico con mirroring su una rete IP usando il processo seguente:

  1. Un router di origine incapsula il traffico e invia il pacchetto sulla rete.
  2. Nel router di destinazione il pacchetto viene de-capsulato e inviato all'interfaccia di destinazione.

Le opzioni di origine ERSPAN includono elementi come:

  • Porte Ethernet e canali di porta
  • Vlan; tutte le interfacce supportate nella VLAN sono origini ERSPAN
  • Canali delle porte dell'infrastruttura
  • Porte satellite e canali di porta dell'interfaccia host

Per altre informazioni, vedere Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).

Mirroring del traffico con commutatori virtuali

Anche se un commutatore virtuale non dispone di funzionalità di mirroring, è possibile usare la modalità promiscua in un ambiente commutatore virtuale come soluzione alternativa per configurare una porta di monitoraggio, simile a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.

Connettere il commutatore di destinazione al sensore di rete OT per monitorare il traffico con Defender per IoT.

La modalità promiscua è una modalità operativa e una tecnica di sicurezza, monitoraggio e amministrazione definita a livello di commutatore virtuale o di portgroup. Quando si usa la modalità promiscua, qualsiasi interfaccia di rete della macchina virtuale nello stesso gruppo di porte può visualizzare tutto il traffico di rete che passa attraverso tale commutatore virtuale. Per impostazione predefinita, la modalità promiscua è disattivata.

Per altre informazioni, vedere:

Passaggi successivi

« Preparare una distribuzione del sito OT