Condividi tramite

Scegliere un metodo di mirroring del traffico per i sensori OT

  • Articolo

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e descrive i metodi di mirroring del traffico supportati per il monitoraggio OT con Microsoft Defender per IoT.

Diagramma di un indicatore di stato con Piano e preparazione evidenziati.

La decisione relativa al metodo di mirroring del traffico da usare dipende dalla configurazione di rete e dalle esigenze dell'organizzazione.

Per assicurarsi che Defender per IoT analizzi solo il traffico che si vuole monitorare, è consigliabile configurare il mirroring del traffico su un commutatore o un punto di accesso terminale (TAP) che include solo il traffico ICS industriale e SCADA.

Nota

SPAN e RSPAN sono terminologia Cisco. Altri marchi di commutatori hanno funzionalità simili, ma potrebbero usare una terminologia diversa.

Raccomandazioni relative all'ambito della porta di mirroring

È consigliabile configurare il mirroring del traffico da tutte le porte del commutatore, anche se non sono connessi dati. In caso contrario, i dispositivi non autorizzati possono essere connessi in un secondo momento a una porta non monitorata e tali dispositivi non verranno rilevati dai sensori di rete Defender per IoT.

Per le reti OT che usano la messaggistica broadcast o multicast, configurare il mirroring del traffico solo per le trasmissioni RX (Receive). I messaggi multicast verranno ripetuti per tutte le porte attive pertinenti e si userà una maggiore larghezza di banda inutilmente.

Confrontare i metodi di mirroring del traffico supportati

Defender per IoT supporta i metodi seguenti:

metodo Descrizione Altre informazioni
Una porta SPAN switch Rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore Configurare il mirroring con una porta SPAN switch
Porta SPAN remoto (RSPAN) Esegue il mirroring del traffico da più porte di origine distribuite in una VLAN remota dedicata Porte REMOTE SPAN (RSPAN)

Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN)
Aggregazione attiva o passiva (punto di accesso terminale) Installa un TAP di aggregazione attivo/passivo inline al cavo di rete, che duplica il traffico verso il sensore di rete OT. Metodo migliore per il monitoraggio forense. Aggregazione attiva o passiva (punto di accesso terminale)
Analizzatore porta commutata remota incapsulata (ERSPAN) Rispecchia le interfacce di input per l'interfaccia di monitoraggio del sensore OT Porte ERSPAN

Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).
Un VSXi vSwitch Esegue il mirroring del traffico usando la modalità promiscua in un vSwitch ESXi. Mirroring del traffico con commutatori virtuali

Configurare il mirroring del traffico con un vSwitch ESXi.
Un vSwitch Hyper-V Esegue il mirroring del traffico usando la modalità promiscua in un vSwitch Hyper-V. Mirroring del traffico con commutatori virtuali

Configurare il mirroring del traffico con un vSwitch Hyper-V

Porte REMOTE SPAN (RSPAN)

Configurare una sessione REMOTE SPAN (RSPAN) sul commutatore per eseguire il mirroring del traffico da più porte di origine distribuite in una VLAN remota dedicata.

I dati nella VLAN vengono quindi recapitati tramite porte trunk, attraverso più commutatori a un commutatore specificato che contiene la porta di destinazione fisica. Connettere la porta di destinazione al sensore di rete OT per monitorare il traffico con Defender per IoT.

Il diagramma seguente mostra un esempio di architettura VLAN remota:

Diagramma della VLAN remota.

Per altre informazioni, vedere Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN).

Aggregazione attiva o passiva (punto di accesso terminale)

Quando si usa l'aggregazione attiva o passiva per eseguire il mirroring del traffico, un punto di accesso del terminale di aggregazione attivo o passivo (TAP) viene installato inline al cavo di rete. Tap duplica sia Receive che Trasmettere il traffico al sensore di rete OT in modo da poter monitorare il traffico con Defender per IoT.

Un TAP è un dispositivo hardware che consente al traffico di rete di fluire tra le porte senza interruzioni. Tap crea una copia esatta di entrambi i lati del flusso di traffico, in modo continuo, senza compromettere l'integrità della rete.

Ad esempio:

Diagramma di TAP attivi e passivi.

Alcuni TAP aggregano sia Receive che Transmit, a seconda della configurazione del commutatore. Se il commutatore non supporta l'aggregazione, ogni TAP usa due porte nel sensore di rete OT per monitorare il traffico di ricezione e trasmissione .

Vantaggi del traffico di mirroring con un TAP

È consigliabile usare TAP in particolare quando si esegue il mirroring del traffico per scopi forensi. I vantaggi del traffico di mirroring con TAP includono:

  • I TAP sono basati su hardware e non possono essere compromessi

  • I TAP passano tutto il traffico, anche i messaggi danneggiati che vengono spesso eliminati dalle opzioni

  • I TAP non sono sensibili al processore, il che significa che la tempistica dei pacchetti è esatta. Al contrario, i commutatori gestiscono la funzionalità di mirroring come attività con priorità bassa, che possono influire sulla tempistica dei pacchetti con mirroring.

È anche possibile usare un aggregatore TAP per monitorare le porte del traffico. Tuttavia, gli aggregatori TAP non sono basati sul processore e non sono intrinsecamente sicuri come gli TAP hardware. Gli aggregatori TAP potrebbero non riflettere la tempistica esatta dei pacchetti.

Modelli TAP comuni

I modelli TAP seguenti sono stati testati per la compatibilità con Defender per IoT. Altri fornitori e modelli potrebbero anche essere compatibili.

  • Garland P1GCCAS

    Quando si usa un TAP Garland, assicurarsi di configurare la rete per supportare l'aggregazione. Per altre informazioni, vedere il diagramma Di aggregazione tocco nella scheda Diagrammi di rete nella guida all'installazione di Garland.

  • IXIA TPA2-CU3

    Quando si usa un tap Ixia, assicurarsi che la modalità aggregazione sia attiva. Per altre informazioni, vedere la guida all'installazione di Ixia.

  • US Robotics USR 4503

    Quando si usa un TAP per la robotica degli Stati Uniti, assicurarsi di attivare o disattivare la modalità di aggregazione impostando l'opzione selezionabile su AGG. Per altre informazioni, vedere la guida all'installazione della robotica statunitense.

Porte ERSPAN

Usare un analizzatore di porte a commutato remoto incapsulato (ERSPAN) per eseguire il mirroring delle interfacce di input su una rete IP all'interfaccia di monitoraggio del sensore OT, quando si proteggono le reti remote con Defender per IoT.

L'interfaccia di monitoraggio del sensore è un'interfaccia promiscua e non ha un indirizzo IP allocato in modo specifico. Quando è configurato il supporto di ERSPAN, i payload del traffico incapsulati con incapsulati dal tunnel GRE verranno analizzati dal sensore.

Usare l'incapsulamento ERSPAN quando è necessario estendere il traffico monitorato tra domini di livello 3. ERSPAN è una funzionalità proprietaria Cisco ed è disponibile solo su router e commutatori specifici. Per altre informazioni, vedere la documentazione di Cisco.

Nota

Questo articolo fornisce indicazioni generali per la configurazione del mirroring del traffico con ERSPAN. I dettagli di implementazione specifici variano a seconda del fornitore di apparecchiature.

Architettura di ERSPAN

Le sessioni ERSPAN includono una sessione di origine e una sessione di destinazione configurata in diverse opzioni. Tra i commutatori di origine e di destinazione, il traffico viene incapsulato in GRE e può essere instradato su reti di livello 3.

Ad esempio:

Diagramma del traffico con mirroring da una rete air-gapped o industriale a un sensore di rete OT tramite ERSPAN.

ERSPAN trasporta il traffico con mirroring su una rete IP usando il processo seguente:

  1. Un router di origine incapsula il traffico e invia il pacchetto in rete.
  2. Nel router di destinazione il pacchetto viene de-capsulato e inviato all'interfaccia di destinazione.

Le opzioni di origine ERSPAN includono elementi come:

  • Porte Ethernet e canali di porta
  • VLAN; tutte le interfacce supportate nella VLAN sono origini ERSPAN
  • Canali delle porte dell'infrastruttura
  • Porte satellite e canali di porta dell'interfaccia host

Per altre informazioni, vedere Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN).

Mirroring del traffico con commutatori virtuali

Anche se un commutatore virtuale non dispone di funzionalità di mirroring, è possibile usare la modalità Promiscuous in un ambiente commutatore virtuale come soluzione alternativa per configurare una porta di monitoraggio, simile a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.

Connettere il commutatore di destinazione al sensore di rete OT per monitorare il traffico con Defender per IoT.

La modalità promiscua è una modalità di funzionamento e una tecnica di sicurezza, monitoraggio e amministrazione definita a livello di commutatore virtuale o di portgroup. Quando si usa la modalità promiscua, qualsiasi interfaccia di rete della macchina virtuale nello stesso gruppo di porte può visualizzare tutto il traffico di rete che passa attraverso tale commutatore virtuale. Per impostazione predefinita, la modalità promiscua è disattivata.

Per altre informazioni, vedi:

Passaggi successivi

« Preparare una distribuzione del sito OT