Panoramica del mirroring del traffico
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT e offre una panoramica delle procedure per la configurazione del mirroring del traffico nella rete.
Prerequisiti
Prima di configurare il mirroring del traffico, assicurarsi di aver stabilito le posizioni dei sensori e il metodo di mirroring del traffico.
Posizione del sensore
Identificare la posizione migliore per posizionare il sensore nella rete, monitorare il traffico di rete e fornire il miglior valore possibile per l'individuazione e la sicurezza. La posizione deve concedere al sensore l'accesso ai tre tipi importanti di traffico di rete seguenti:
| Tipo | Descrizione |
|---|---|
| Traffico di livello 2 (L2) | Il traffico L2, che include protocolli come ARP e DHCP, è un indicatore critico del posizionamento del sensore. L'accesso al traffico L2 significa anche che il sensore può raccogliere dati precisi e preziosi sui dispositivi della rete. Quando un sensore è posizionato correttamente, acquisisce accuratamente gli indirizzi MAC dei dispositivi. Queste informazioni vitali forniscono indicatori fornitore, che migliorano la capacità del sensore di classificare i dispositivi. |
| Protocolli OT | I protocolli OT sono essenziali per estrarre informazioni dettagliate sui dispositivi all'interno della rete. Questi protocolli forniscono dati cruciali che portano a una classificazione accurata dei dispositivi. Analizzando il traffico del protocollo OT, il sensore può raccogliere dettagli completi su ogni dispositivo, ad esempio il modello, la versione del firmware e altre caratteristiche rilevanti. Questo livello di dettaglio è necessario per mantenere un inventario accurato e aggiornato di tutti i dispositivi, fondamentale per la gestione e la sicurezza della rete. |
| Comunicazione subnet interna | I dispositivi delle reti OT comunicano all'interno di una subnet e le informazioni contenute nella comunicazione interna della subnet garantiscono la qualità dei dati raccolti dai sensori. I sensori vengono posizionati dove hanno accesso alla comunicazione della subnet interna per monitorare le interazioni dei dispositivi, che spesso includono dati critici. Acquisendo questi pacchetti di dati, i sensori creano un'immagine dettagliata e accurata della rete. |
Per altre informazioni, vedere l'articolo relativo all'inserimento di sensori OT nella rete.
Metodi di mirroring del traffico
Esistono tre tipi di metodi di mirroring del traffico progettati per scenari di utilizzo specifici. Scegliere il metodo migliore in base all'utilizzo e alle dimensioni della rete.
| Tipo di mirroring | Switched Port Analyzer (SPAN) | SPAN remoto (RSPAN) | Span remoto incapsulato (ERSPAN) |
|---|---|---|---|
| Scenario di utilizzo | Ideale per il monitoraggio e l'analisi del traffico all'interno di un singolo commutatore o di un segmento di rete di piccole dimensioni. | Adatto per reti o scenari di dimensioni maggiori in cui il traffico deve essere monitorato tra segmenti di rete diversi. | Ideale per il monitoraggio del traffico su reti diverse o geograficamente distribuite, inclusi i siti remoti. |
| Descrizione | SPAN è una tecnica di mirroring del traffico locale usata all'interno di un singolo commutatore o di uno stack di commutatori. Consente agli amministratori di rete di duplicare il traffico da porte di origine o VLAN specificate a una porta di destinazione in cui il dispositivo di monitoraggio, ad esempio un sensore di rete o un analizzatore, è connesso. | RSPAN estende le funzionalità di SPAN consentendo il mirroring del traffico tra più commutatori. È progettato per ambienti in cui il monitoraggio deve verificarsi su diversi commutatori o stack di commutatori. | ERSPAN consente a RSPAN di incapsulare ulteriormente il traffico con mirroring nei pacchetti GRE (Generic Routing Encapsulation). Questo metodo abilita il mirroring del traffico tra segmenti di rete diversi o anche attraverso Internet. |
| Configurazione del mirroring | - Porte di origine/VLAN: configurare il passaggio al traffico mirror da porte o VLAN selezionate. - Porta di destinazione: il traffico con mirroring viene inviato a una porta designata sullo stesso commutatore. Questa porta è connessa al dispositivo di monitoraggio. |
- Porte di origine/VLAN: il traffico viene sottoposto a mirroring da porte di origine o VLAN specificate in un commutatore di origine. - VLAN RSPAN: il traffico con mirroring viene inviato a una speciale VLAN RSPAN che si estende su più commutatori. - Porta di destinazione: il traffico viene quindi estratto da questa VLAN RSPAN in una porta designata su un commutatore remoto in cui è connesso il dispositivo di monitoraggio. |
- Porte di origine/VLAN: analogamente a SPAN e RSPAN, il traffico viene sottoposto a mirroring dalle porte di origine o dalle VLAN specificate. - Incapsulamento: il traffico con mirroring viene incapsulato in pacchetti GRE, che possono quindi essere instradati tra reti IP. - Porta di destinazione: il traffico incapsulato viene inviato a un dispositivo di monitoraggio connesso a una porta di destinazione in cui i pacchetti GRE vengono decapsulati e analizzati. |
| Vantaggi | - Semplicità: facile da configurare e gestire. - Bassa latenza: poiché è limitata a un singolo commutatore, introduce un ritardo minimo. |
- Copertura estesa: consente il monitoraggio tra più commutatori. - Flessibilità: può essere usata per monitorare il traffico da diverse parti della rete. |
- Copertura generale: consente il monitoraggio tra reti IP e posizioni diverse. - Flessibilità: può essere usata negli scenari in cui il traffico deve essere monitorato su lunghe distanze o attraverso percorsi di rete complessi. |
| Limitazioni | Ambito locale: limitato al monitoraggio all'interno dello stesso commutatore, che potrebbe non essere sufficiente per le reti di dimensioni maggiori. | Carico di rete: potenzialmente aumenta il carico sulla rete a causa del traffico VLAN RSPAN. |
Quando si seleziona un metodo di mirroring, considerare anche i fattori seguenti:
| Fattori | Descrizione |
|---|---|
| Dimensioni e layout di rete | - SPAN è adatto per il monitoraggio locale. - RSPAN per ambienti multi-switch di dimensioni maggiori - ERSPAN per reti geografiche distribuite o complesse. |
| Volume del traffico | Assicurarsi che il metodo scelto possa gestire il volume del traffico senza introdurre una latenza o un carico di rete significativo. |
| Esigenze di monitoraggio | Determinare se il traffico viene acquisito in locale o tra segmenti di rete diversi e scegliere il metodo appropriato. |
Processi di mirroring del traffico
Usare una delle procedure seguenti per configurare il mirroring del traffico nella rete:
Porte SPAN:
- Configurare il mirroring con una porta SPAN switch
- Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN)
- Aggiornare le interfacce di monitoraggio di un sensore (configurare ERSPAN)
Commutatori virtuali:
- Configurare il mirroring del traffico con un VSWitch ESXi
- Configurare il mirroring del traffico con un vSwitch Hyper-V
Defender per IoT supporta anche il mirroring del traffico con configurazioni TAP. Per altre informazioni, vedere Aggregazione attiva o passiva (TAP).