IT OT Convergentie

SPAN

2 minuten leestijd

Wat is SPAN?

SPAN (Switched Port Analyzer), ook wel bekend als port mirroring, is een functie op managed Switches waarmee netwerkverkeer van één of meerdere poorten wordt gekopieerd naar een andere poort voor analyse of Monitoring.

In OT-netwerken wordt SPAN gebruikt om communicatie van PLC’s, HMI’s of SCADA-systemen passief te analyseren met tools zoals Wireshark of om gegevens naar een IDS of SIEM te sturen.

🧠 Hoe werkt SPAN?

  1. De beheerder configureert de switch om het verkeer van een bronpoort of VLAN (source) te dupliceren
  2. Dit verkeer wordt gestuurd naar een doelpoort (destination), waar een analyzer of sensor op aangesloten is
  3. Het analyserende apparaat ontvangt een exacte kopie van de datastroom, maar stuurt zelf geen verkeer terug

SPAN is read-only monitoring — ideaal voor veilige inspectie van OT-verkeer.

🏭 Toepassing van SPAN in industriële netwerken

  • Passief analyseren van Modbus-, ProfiNET- of OPC UA-verkeer met Wireshark
  • Voeden van een IDS of SIEM met realtime verkeersdata
  • Bewaken van BOOTP/DHCP gedrag bij het instellen van nieuwe Drives of IO-modules
  • Inspectie van verdachte netwerkinformatie zonder het netwerk te beïnvloeden
  • Ondersteuning van audits, troubleshooting en netwerkdocumentatie

SPAN wordt vaak toegepast op core switches of bij segmentgrenzen in het Purdue Model.

🔍 SPAN vs. TAP

AspectSPAN (Switch-gebaseerd)TAP (Hardware-gebaseerd)
KostenGeen extra hardware nodigVereist aparte TAP-apparatuur
ConfiguratieSoftwarematig via switch CLI/WebinterfaceFysieke installatie
BetrouwbaarheidKan packets missen bij hoge belastingAltijd 100% kopie van verkeer
BeïnvloedingMinimale impact, maar afhankelijk van switchVolledig passief
Gebruik in OTVeel gebruikt voor ad-hoc en flexibele monitoringTAP aanbevolen voor kritieke segmenten

🔐 Beveiligingsaspecten

  • SPAN-poorten moeten fysiek en logisch beschermd zijn: alleen vertrouwde apparaten mogen worden aangesloten
  • Zorg dat het analyserende apparaat (bijv. Wireshark) geen verkeer terugstuurt – gebruik “receive only”-interfaces
  • Combineer met VLAN, ACL en Firewall om toegang tot de SPAN-poort af te schermen
  • Log configuratieveranderingen aan SPAN via Syslog of SIEM
  • SPAN is geen beveiligingsmaatregel op zich — het is een hulpmiddel binnen Netwerkmonitoring

Gebruik SPAN alleen als onderdeel van een beheerst en gesegmenteerd netwerkdesign.

📌 Samengevat

SPAN is een waardevol hulpmiddel om netwerkverkeer zichtbaar te maken zonder tussenkomst in de communicatie, vooral in OT-omgevingen waar betrouwbaarheid essentieel is. Het ondersteunt veilige Monitoring, troubleshooting en forensisch onderzoek.

Grafiekweergave

Backlinks