为ICS安全解决方案选择TAP和SPAN端口

保护和监控工业网络是公司的最终目标。为了实现这一目标，团队利用工业控制系统(ICS)安全解决方案，旨在有效地响应和管理OT环境中的威胁。为了正确地识别、检测和响应安全威胁和漏洞，许多ICS安全工具侧重于网络可见性、威胁检测和监控以及资产可见性和管理。

在实施这些安全解决方案时，OT团队面临着复杂的挑战，要在这些最初设计时没有考虑到网络安全的大型(有时是老化的)基础设施中构建连接，包括:

• 依赖传统交换机SPAN端口的可见性，不安全、不可靠或不可用
• 面对不同媒体或速度网络与各种工具之间的连接
• 网络扩展需要降低网络复杂度
• 可能需要单向连接他们的监控工具
• 需要为虚拟环境提供安全的气隙解决方案。
• 幸运的是，这些挑战都有解决方案。优化的安全性和性能策略始于对网络流量的100%可见性。可见性从数据包开始。

OT环境中网络可见性的一个常见接入点来自网络交换机上的SPAN端口。很多时候，工程师会直接连接到入侵检测系统(IDS)或网络监控工具。

但是今天，在现代ICS网络中，有一种更可靠的选择来访问网络数据包，以实现安全和监控解决方案，以正确地分析威胁和异常-网络tap。

OT环境中的TAP vs. SPAN

决定何时使用交换端口分析器(SPAN)端口或网络tap归结为许多问题。很多时候，两者的结合是可见性体系结构的现实。但是，有一些显著的差异会影响正在分析的流量的完整性，以及网络流量的性能。考虑每种方法的优点和缺点，以帮助决定哪种方法最适合特定的网络。

1.交换机SPAN接口

常见的可见性用例是将交换机上的SPAN端口的镜像流量路由到安全或监控工具。端口镜像，也称为SPAN，是网络交换机上的一个指定端口，它被编程为镜像或发送在特定端口上看到的网络数据包的副本，在那里数据包可以被分析。

SPAN端口优点:

• 提供对监控数据包的访问
• SPAN会话不会干扰交换机的正常运行
• 可从连接到交换机的任何系统进行配置。

这个概念很简单——交换机已经架构到环境中了。只需连接安全解决方案。然而，很多时候，最简单的道路并不是最好的道路。

SPAN端口缺点:

• SPAN占用交换机的高值端口
• 一些传统交换机甚至没有可用的SPAN端口
• SPAN端口可能会丢弃数据包，这对安全和监管解决方案来说是一个额外的风险。

安全团队不喜欢使用SPAN的一个根本原因是数据包丢失。这通常发生在端口被大量使用或超额订阅时。在OT环境中，网络交换机往往会运行10mb、100mb，甚至1gb，因此您可能认为这种情况永远不会发生。不幸的是，即使在网络链路未饱和的情况下，ICS交换机也容易以较低的速度丢弃数据包。这种情况的发生有多种原因:

• 由于内存不足，包有时无法存储
• ' PAUSE '帧攻击。恶意攻击者可以将SPAN伪装成环回，隐藏坏数据并强制丢弃数据包
• 显示循环冗余校验(CRC)损坏的数据包将被丢弃
• 小于64字节或大于配置的最大传输单元MTU (maximum transmission unit)的帧可以由于入速率限制而丢弃。

如果扔掉这些包还不能让你大开眼界，SPAN还:

• 不会传递损坏的包或错误
• 使用多个vlan时，报文是否可以重复
• 可以改变帧交互的时间，改变响应时间。

SPAN的概念可能听起来很简单，因为它是可用的，但在权衡数据包丢失和改变帧后，额外的SPAN安全考虑包括:

• 双向流量打开流量回流到网络，使交换机容易受到黑客攻击
• SPAN的管理/编程成本越来越耗费时间和成本。

2.网络利用

数据包可见性的行业最佳实践是网络tap(测试接入点)。网络利用是专门制造的硬件设备，可以连续全天候地创建流量的精确全双工副本，而不会损害网络完整性。

网络TAP不是将两个网段(如路由器和交换机)直接相互连接，而是放置在它们之间以获得对流量流的完全访问。tap在单独的专用通道上同时发送和接收数据流，确保所有数据实时到达监控或安全设备。

• 网络tap对网络流量进行100%全双工复制
• 网络轻敲不会改变数据或丢弃数据包
• Network tap是可伸缩的，可以提供单个副本、多个副本(再生)或合并流量(聚合)，以最大限度地提高监视工具的产量。

-本文最初发表于工业卫士网站．工业的后卫是CFE Media的内容合作伙伴。由Chris Vavra编辑，web内容经理，CFE Media，cvavra@cfemedia.com．

原始内容可以在www.industrialdefender.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。