【技術文章】OT 環境中的 TAP 與 SPAN

原文:CHRIS BIHARY

翻譯:翰特科技


保護和監控您的網路是最終目標。為了實現這一目標,團隊利用旨在有效對應和管理 OT 環境中的威脅的ICS 安全解決方案。為了正確識別、檢測和回應安全威脅和漏洞,大多數 ICS 安全工具專注於網路可見性、威脅檢測和監控以及資產可見性和管理。

在實施這些安全解決方案時,OT 團隊在構建這些大型且有些老化的基礎設施的連接時面臨著複雜的挑戰,因為這些基礎設施最初在設計時並未考慮到網路安全,包括:

  • 依賴於傳統交換器 SPAN 埠的可見性,這些埠是不安全、不可靠甚至是不可用的
  • 面對網路和各種工具之間不同的媒體或速度連接
  • 網路擴展時,亦需要降低網路複雜性
  • 他們的監控工具可能需要單向連接
  • 需要針對虛擬環境的安全解決方案


幸運的是,這些挑戰都有解決方案。優化的安全和性能策略始於對網路流量的 100% 網路可見性,而網路可見性,必定來自於數據封包。 

OT
環境中網路可見性的常見接入點來自於網路交換器上的 SPAN 埠。很多時候,工程師會直接將其連接到入侵檢測系統 (IDS) 或網路監控工具。

但是今天,在現代 ICS 網路中,有一個更可靠的選項來訪問網路數據封包以獲取安全和監控解決方案,以正確分析威脅和異常情況 - Network TAP


OT
環境中的 TAP SPAN

確定何時使用 SPAN 埠或Network TAP 可歸納為許多問題。很多時候,兩者的結合是可見性架構的現實狀況。但是有一些顯著差異會影響正在分析的流量的完整性,以及網路流量的性能。讓我們回顧一下每種方法的一些優缺點,以幫助您決定哪種方法最適合您的網路。


1. SPAN

一個常見的可見性用法是將鏡像流量從交換器上的 SPAN 埠傳送到安全或監控工具。埠鏡像也稱為 SPANSwitch Port Analyzer),是網路交換器上的一個指定埠,它被設定為鏡像或發送在特定埠上看到的網路數據封包的副本。 

  • 可以存取數據封包以進行監控
  • SPAN session不會干擾交換器的正常運行
  • 可從連接到交換器的任何系統進行配置

pic1.png

這個概念很簡單——交換器已經構建到環境中。所以只需要將安全解決方案接上,就完工了。但很多時候,最簡單的路徑並不是最好的路徑。

SPAN
進階的挑戰包括:

  • SPAN 佔用交換器上的埠,而這些連托接埠可能所費不貲
  • 一些傳統交換器甚至沒有可用的 SPAN
  • SPAN 埠可能會丟棄數據封包,這是安全和監管解決方案的額外風險


網路安全團隊不喜歡使用 SPAN 的根本原因之一是丟包。這通常發生在埠被大量使用或流量超額時。在 OT 環境中,網路交換器往往運行 10M100M、最高 1G,因此您可能認為這永遠不會發生。不幸的是,ICS 交換器更容易在較低的速度丟棄數據封包,即使在網路鏈路流量未飽和時也是如此。發生這種情況的原因有多種:

  • 由於內建記憶體不足,導致有時無法存儲數據封包
  • “暫停幀攻擊。惡意者可以偽裝成環回資料淹沒 SPAN,藉以隱藏不良數據並強制丟棄數據封包
  • 顯示循環冗餘校驗 (CRC) 損壞的數據封包會被丟棄
  • 由於速率限制,小於 64 字節或大於配置的最大傳輸單元 (MTU) 的封包可能會被丟棄

如果丟棄數據封包不夠吸引您的目光,那您知道SPAN的其他狀況嗎:

  • 不會傳遞損壞的數據封包或錯誤
  • 如果使用多個 VLAN,可能造成數據封包被冗餘複製
  • SPAN會改變封包互動的時間,因此回應時間長短可能因此改變

SPAN 概念可能聽起來很簡單,但在權衡數據封包丟失和封包特性可能被更改之後,有更多SPAN該被注意的安全注意事項出現:

  • 雙向流量會導致流量回流到網路中,使交換器容易受到駭客攻擊
  • SPAN 的管理/設定時間成本變得越來越耗時和昂貴


2. Network TAP

數據封包可見性的行業最佳實踐方式是Network TAPNetwork TAP是專門構建的硬體設備,可連續、24/7 地創建流量流的精確全雙工副本,而且不會影響網路完整性。 

pic2.png

並不將兩個網段(例如路由器和交換器)直接相互連接,而是在它們之間放置Network TAP,我們藉以獲得對流量的完全存取能力。TAP在單獨的專用通道上同時傳輸發送和接收數據流,可確保所有數據即時到達監控或安全設備。

  • Network TAP 對網路流量進行 100% 全雙工複製 
  • Network TAP 不會改變數據或丟棄數據封包
  • Network TAP 具有可擴展性,可以提供單個副本、多個副本(重新生成)或整合流量(聚合),以最大限度地提高監控工具的產量

                pic3.png

  • 網路流量的 100% 全雙工副本
  • 實現更快的故障排除
  • 確保不丟包、不傳遞物理錯誤並支援jumbo frame
  • 不改變封包的時間關係
  • 被動或故障安全,確保無單點故障 (Single Ponit of Failure)
  • TAP沒有 IP 地址或 MAC 地址,不會被駭客入侵
  • CALEA(執法機構認證委員會)批准合法攔截,提供鑑識用的可靠數據,確保100%準確的數據擷取和時間參考
  • Data Diode TAP 提供單向流量,以防止流量回流到網路中
  • 可擴展用於流量優化,可以將多個鏈接聚合為一個
  • 隨插即用易於配置和部署
  • 可存取數據封包以進行監控 
  • 會佔用交換器上的埠
  • SPAN流量在交換器上的優先級最低
  • 一些交換器可能沒有可用的 SPAN
  • SPAN 埠可能丟棄數據封包,這是安全和監管解決方案的額外風險
  • 不會傳遞損壞的數據封包或錯誤 
  • 如果使用多個 VLAN,會造成數據封包冗餘複製
  • 會改變封包交互的時間,改變回應時間
  • 雙向流量會導致流量回流到網路中,使交換器容易受到駭客攻擊
  • SPAN 的管理/編程成本會逐漸變得更加耗時和昂貴

 

遵循關鍵基礎設施的指導原則您希望您的網路能夠經久耐用,同時確保最少或沒有網路停機時間。這些概念依賴於網路基礎設施和可見性架構。在您的網路中加入Network TAP 等最佳實踐將幫助您實現這些目標。

2021-07-30
版權所有 抄襲必究 copyright © 2021 翰特科技股份有限公司 All rights reserved.