问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

流量镜像方法详解:如何选择适合工业物联网安全监控的技术方案

创作时间:
作者:
@小白创作中心

流量镜像方法详解:如何选择适合工业物联网安全监控的技术方案

引用
1
来源
1.
https://learn.microsoft.com/zh-cn/training/modules/defender-iot-prepare-deployment/5-determine-traffic-mirroring-method?ns-enrollment-id=learn.defender-iot-deploy-ot-monitoring&ns-enrollment-type=learningpath&source=recommendations

在工业物联网安全领域,流量镜像技术是实现网络监控和威胁检测的关键环节。本文将详细介绍五种主流的流量镜像方法,包括它们的工作原理、应用场景以及优缺点分析,帮助读者根据实际需求选择最适合的方案。

在上一单元中,你确定了汽车制造站点中要监视的设备和子网。 现在要确定要用于站点的流量镜像方法。
使用 Defender for IoT 进行流量镜像可让你将网络流量镜像到传感器,可以在其中监视和诊断网络中的风险和威胁。

流量镜像方法

根据网络配置确定要使用的流量镜像方法。 Defender for IoT 支持以下流量镜像方法:

方法
说明
交换机 SPAN 端口
将交换机上的接口的本地流量镜像到同一交换机上的其他接口。
远程 SPAN (RSPAN) 端口
将来自多个分布式源端口的流量镜像到专用远程虚拟局域网 (VLAN)。VLAN 数据通过中继端口传送,跨多个交换机传送到包含物理目标端口的指定交换机。
主动或被动聚合 (TAP)
将主动/被动聚合终端接入点 (TAP) 以内联方式安装到网络电缆。 TAP 将“接收”和“传输”流量复制到 OT 网络传感器。TAP 硬件设备使网络流量能够在不中断且不影响网络完整性的情况下在端口间流动。TAP 的优点包括:基于硬件,可传递所有消息(包括损坏的消息)且不区分处理器。建议将 TAP 用于取证监视。
封装的远程交换端口分析器 (ERSPAN)
通过将输入接口通过 IP 网络镜像到 OT 传感器的监视混杂接口来保护远程网络。 流量有效负载通过通用路由封装 (GRE) 隧道封装进行封装,并由传感器进行分析。ERSPAN 很适合需要在 OSI 第 3 层网络上路由流量的情况。 它可能包括以太网端口、VLAN、构造端口通道和附属端口等源。
ESXi vSwitch
使用虚拟交换机和混杂模式作为配置监视端口的方法,因为虚拟交换机没有镜像功能。通过虚拟交换机的任何流量对同一端口组中的其他网络接口可见。
Hyper-V vSwitch
使用虚拟交换机和混杂模式作为配置监视端口的方法,因为虚拟交换机没有镜像功能。通过虚拟交换机的任何流量对同一端口组中的其他网络接口可见。

根据总体监视需求、网络配置、传感器连接和可用资源等的考量结果选择监视方法。

示例方案

以下示例展示了你基于网络配置可能会在汽车制造组织中选用的流量镜像方法:

远程 VLAN 体系结构

在远程 VLAN 体系结构的以下示例中,源交换机配置了远程 SPAN 会话,这些会话通过中间交换机将数据分发到目标交换机。 目标交换机使用 Defender for IoT 监视来自 OT 网络传感器的流量:

主动或被动聚合 (TAP)

在以下网络 TAP 体系结构示例中,TAP 以内联方式安装到网络电缆,并将流量镜像到 Defender for IoT:

ERSPAN 体系结构

在以下 ERSPAN 体系结构示例中,源路由器封装流量,并通过 OSI 第 3 层网络将数据包发送到目标路由器。 然后将其解封并发送到 OT 网络传感器,再继续发送到 Defender for IoT:

防止未检测到的端口连接

为防止未检测到的恶意设备连接到未受监视的端口,应配置来自所有交换机端口的流量镜像。 对于使用广播或多播消息传送的 OT 网络,仅配置 RX(接收)传输的流量镜像,以防止不必要的带宽使用。

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号