Konfigurace zrcadlení pomocí portu SPAN přepínače

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram of a progress bar with Network level deployment highlighted.

Nakonfigurujte na přepínači port SPAN tak, aby zrcadlil místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači.

Tento článek obsahuje ukázkové konfigurační procesy a postupy pro konfiguraci portu SPAN pomocí cisco CLI nebo grafického uživatelského rozhraní pro přepínač Cisco 2960 s 24 porty se systémem IOS.

Důležité

Tento článek je určený pouze jako ukázkové pokyny, nikoli jako pokyny. Zrcadlové porty v jiných operačních systémech Cisco a jiných značek přepínačů se konfigurují odlišně. Další informace najdete v dokumentaci k přepínači.

Požadavky

Než začnete, ujistěte se, že rozumíte plánu monitorování sítě pomocí Defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.

Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.

Ukázková konfigurace portu SPAN rozhraní příkazového řádku (Cisco 2960)

Následující příkazy ukazují ukázkový proces konfigurace portu SPAN na Cisco 2960 prostřednictvím rozhraní příkazového řádku:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Ukázková konfigurace portu SPAN grafického uživatelského rozhraní (Cisco 2960)

Tento postup popisuje základní kroky konfigurace portu SPAN na cisco 2960 prostřednictvím grafického uživatelského rozhraní. Další informace najdete v příslušné dokumentaci cisco.

Z konfiguračního grafického uživatelského rozhraní přepínače:

  1. Zadejte globální režim konfigurace.
  2. Nakonfigurujte prvních 23 portů jako zdroj relace a zrcadlení pouze paketů RX.
  3. Nakonfigurujte port 24 tak, aby byl cílem relace.
  4. Vraťte se do privilegovaného režimu EXEC.
  5. Ověřte konfiguraci zrcadlení portů.
  6. Uložte konfiguraci.

Ukázková konfigurace portu SPAN rozhraní příkazového řádku s několika sítěmi VLAN (Cisco 2960)

Defender pro IoT může monitorovat několik sítí VLAN nakonfigurovaných ve vaší síti bez jakékoli další konfigurace, pokud je síťový přepínač nakonfigurovaný tak, aby odesílal značky VLAN do Defenderu pro IoT.

Například následující příkazy musí být nakonfigurované na přepínači Cisco, aby podporovaly monitorování sítí VLAN v defenderu pro IoT:

Monitorování relace: Následující příkazy nakonfigurují přepínač tak, aby odesílal sítě VLAN na port SPAN.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Monitorujte kmenový port F.E. Gi1/1: Následující příkazy konfigurují přepínač tak, aby podporoval sítě VLAN nakonfigurované na kmenovém portu:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem
  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Screenshot of Wireshark validation.

Nasazení s jednosměrnými bránami a datovými diodami

Defender for IoT můžete nasadit s jednosměrnými bránami, označovanými také jako datové diody. Datové diody poskytují bezpečný způsob, jak monitorovat sítě, protože umožňují tok dat pouze jedním směrem. To znamená, že data je možné monitorovat bez ohrožení zabezpečení sítě, protože data se nedají odeslat zpět v opačném směru. Příkladem řešení datových diod jsou vodopád, cyber defense owl nebo Hirschmann.

Pokud jsou potřeba jednosměrné brány, doporučujeme nasadit datové diody na provoz SPAN do portu pro monitorování snímačů. Pomocí datové diody můžete například monitorovat provoz z citlivého systému, například průmyslového řídicího systému, přičemž systém je zcela izolovaný od monitorovacího systému.

Umístěte senzory OT mimo elektronickou obvod a nechte je přijímat provoz z diody. V tomto scénáři budete moct spravovat senzory Defenderu pro IoT z cloudu a automaticky je aktualizovat nejnovějšími balíčky analýzy hrozeb.

Další kroky