Vue d’ensemble de la mise en miroir du trafic
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT. Il fournit une vue d’ensemble des procédures de configuration de la mise en miroir du trafic dans votre réseau.
Prérequis
Avant de configurer la mise en miroir du trafic, vérifiez que vous avez choisi l’emplacement du capteur et la méthode de mise en miroir du trafic.
Emplacement du capteur
Identifiez le meilleur emplacement où placer le capteur dans le réseau, afin de surveiller le trafic réseau et de fournir la meilleure valeur de découverte et de sécurité possible. L’emplacement doit permettre au capteur d’accéder aux trois types importants de trafic réseau suivants :
| Type | Description |
|---|---|
| Trafic de couche 2 (L2) | Le trafic L2, qui inclut des protocoles tels que ARP et DHCP, est un indicateur critique de l’emplacement du capteur. L’accès au trafic L2 signifie également que le capteur peut collecter des données précises et précieuses sur les appareils du réseau. Lorsqu’un capteur est correctement positionné, il capture avec précision les adresses MAC des appareils. Ces informations vitales fournissent des indicateurs sur le fournisseur, ce qui améliore la capacité du capteur à classifier les appareils. |
| Protocoles OT | Les protocoles OT sont essentiels pour extraire des informations détaillées sur les appareils au sein du réseau. Ces protocoles fournissent des données cruciales qui mènent à une classification précise des appareils. En analysant le trafic de protocole OT, le capteur peut recueillir des détails complets sur chaque appareil, comme son modèle, la version de son microprogramme, et d’autres caractéristiques pertinentes. Ce niveau de détail est nécessaire pour maintenir un inventaire précis et à jour de tous les appareils, ce qui est essentiel pour la gestion et la sécurité du réseau. |
| Communication de sous-réseau interne | Les appareils de réseaux OT communiquent au sein d’un sous-réseau, et les informations trouvées dans la communication de sous-réseau interne garantissent la qualité des données collectées par les capteurs. Les capteurs sont placés là où ils ont accès à la communication de sous-réseau interne afin de surveiller les interactions entre les appareils, qui incluent souvent des données critiques. En capturant ces paquets de données, les capteurs créent une image détaillée et précise du réseau. |
Pour plus d’informations, consultez Placement de capteurs OT dans votre réseau.
Méthodes de mise en miroir de trafic
Il existe trois types de méthodes de mise en miroir de trafic, chacune conçue pour des scénarios d’utilisation spécifiques. Choisissez la meilleure méthode en fonction de l’utilisation et de la taille de votre réseau.
| Type de mise en miroir | Analyseur de port commuté (SPAN) | SPAN distant (RSPAN) | Encapsulated Remote SPAN (ERSPAN) |
|---|---|---|---|
| Scénario d’utilisation | Idéal pour surveiller et analyser le trafic au sein d’un commutateur unique ou d’un petit segment réseau. | Adapté aux réseaux plus volumineux ou aux scénarios où le trafic doit être surveillé sur différents segments réseau. | Idéal pour surveiller le trafic sur des réseaux diversifiés ou géographiquement dispersés, y compris des sites distants. |
| Description | SPAN est une technique de mise en miroir du trafic local utilisée au sein d’un commutateur unique ou d’une pile de commutateurs. Elle permet aux administrateurs réseau de dupliquer le trafic à partir de ports sources ou de réseaux locaux virtuels spécifiés vers un port de destination où l’appareil de surveillance, tel qu’un capteur réseau ou un analyseur, est connecté. | RSPAN étend les fonctionnalités de SPAN en permettant au trafic d’être mis en miroir sur plusieurs commutateurs. Cette technique est conçue pour les environnements où la surveillance doit se produire sur différents commutateurs ou piles de commutateurs. | ERSPAN va au-delà de SPAN en encapsulant le trafic mis en miroir dans des paquets GRE (Generic Routing Encapsulation). Cette méthode permet la mise en miroir du trafic sur différents segments réseau ou même sur Internet. |
| Configuration de la mise en miroir | - Ports/réseaux locaux virtuels sources : configurez le commutateur pour mettre en miroir le trafic provenant de ports ou de réseaux locaux virtuels sélectionnés. - Port de destination : le trafic mis en miroir est envoyé à un port désigné sur le même commutateur. Ce port est connecté à votre appareil de surveillance. |
- Ports/réseaux locaux virtuels sources : le trafic provenant de ports ou de réseaux locaux virtuels sources spécifiés sur un commutateur source est mis en miroir. - Réseau local virtuel RSPAN : le trafic mis en miroir est envoyé à un réseau local virtuel RSPAN spécial qui s’étend sur plusieurs commutateurs. - Port de destination : le trafic est ensuite extrait de ce réseau local virtuel RSPAN sur un port désigné sur un commutateur distant où l’appareil de surveillance est connecté. |
- Ports/réseaux locaux virtuels sources : similaire à SPAN et RSPAN, le trafic provenant de ports ou de réseaux locaux virtuels sources spécifiés est mis en miroir. - Encapsulation : le trafic mis en miroir est encapsulé dans des paquets GRE, qui peuvent ensuite être routés sur des réseaux IP. - Port de destination : le trafic encapsulé est envoyé à un appareil de surveillance connecté à un port de destination où les paquets GRE sont décapsulés et analysés. |
| Avantages sociaux | - Simplicité : facile à configurer et à gérer. - Latence faible : le trafic étant limité à un commutateur unique, il introduit un délai minimal. |
- Couverture étendue : permet la surveillance sur plusieurs commutateurs. - Flexibilité : peut être utilisé pour surveiller le trafic provenant de différentes parties du réseau. |
- Couverture étendue : permet la surveillance sur différents réseaux IP et emplacements. - Flexibilité : peut être utilisé dans les scénarios où le trafic doit être surveillé sur de longues distances ou via des chemins réseau complexes. |
| Limitations | Étendue locale : limité à la surveillance au sein du même commutateur, ce qui peut ne pas suffire pour les réseaux volumineux. | Charge réseau : augmente potentiellement la charge sur le réseau en raison du trafic VLAN RSPAN. |
Lors de la sélection d’une méthode de mise en miroir, tenez également compte des facteurs suivants :
| Facteurs | Description |
|---|---|
| Taille et disposition du réseau | - SPAN convient à la surveillance locale. - RSPAN convient aux environnements plus volumineux et à plusieurs commutateurs. - ERSPAN convient aux réseaux géographiquement dispersés ou complexes. |
| Volume de trafic | Assurez-vous que la méthode choisie peut gérer le volume de trafic sans introduire de latence ou de charge réseau significative. |
| Besoins en matière de surveillance | Déterminez si le trafic est capturé localement ou sur différents segments réseau, et choisissez la méthode appropriée. |
Processus de mise en miroir du trafic
Utilisez l’une des procédures suivantes pour configurer la mise en miroir active dans votre réseau :
Ports SPAN :
- Configurer la mise en miroir avec un port SPAN de commutateur
- Configurer la mise en miroir du trafic avec un port SPAN distant (RSPAN)
- Mettre à jour les interfaces de supervision d’un capteur (configurer ERSPAN)
Commutateurs virtuels :
- Configurer la mise en miroir du trafic avec un commutateur virtuel ESXi
- Configurer la mise en miroir du trafic avec un commutateur virtuel Hyper-V
Defender pour IoT prend également en charge la mise en miroir du trafic avec des configurations TAP. Pour plus d’informations, consultez Agrégation active ou passive (TAP).