Konfigurieren der Spiegelung mit einem Switch-SPAN-Port
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.
Konfigurieren Sie einen SPAN-Port in Ihrem Switch, um lokalen Datenverkehr von Schnittstellen im Switch an eine Schnittstelle im gleichen Switch zu spiegeln.
Dieser Artikel enthält exemplarische Prozesse und Verfahren zum Konfigurieren eines SPAN-Ports über die Cisco-CLI oder über die grafische Benutzeroberfläche für einen Cisco 2960-Switch mit 24 Ports unter iOS.
Wichtig
Bei diesem Artikel handelt es sich lediglich um einen exemplarischen Leitfaden und nicht um eine Anleitung. Spiegelports für andere Cisco-Betriebssysteme und Switchmarken werden anders konfiguriert. Weitere Informationen finden Sie in Ihrer Switch-Dokumentation.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie den Plan für die Netzwerküberwachung mit Defender for IoT verstehen und die SPAN-Ports kennen, die Sie konfigurieren möchten.
Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.
Exemplarische SPAN-Portkonfiguration über die CLI (Cisco 2960)
Die folgenden Befehle zeigen einen Beispielprozess zum Konfigurieren eines SPAN-Ports auf einem Cisco 2960-Switch über die CLI:
Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config
Exemplarische SPAN-Portkonfiguration über die grafische Benutzeroberfläche (Cisco 2960)
In diesem Verfahren werden die allgemeinen Schritte beschrieben, die ausgeführt werden müssen, um auf einem Cisco 2960-Switch einen SPAN-Port über die grafische Benutzeroberfläche zu konfigurieren. Weitere Informationen finden Sie in der entsprechenden Cisco-Dokumentation.
Gehen Sie auf der grafischen Benutzeroberfläche zum Konfigurieren des Switchs wie folgt vor:
- Wechseln Sie zum globalen Konfigurationsmodus.
- Konfigurieren Sie die ersten 23 Ports als Sitzungsquelle. Es sollen nur RX-Pakete gespiegelt werden.
- Konfigurieren Sie den Port 24 als Sitzungsziel.
- Kehren Sie zum privilegierten EXEC-Modus zurück.
- Überprüfen Sie die Konfiguration der Portspiegelung.
- Speichern Sie die Konfiguration.
Exemplarische SPAN-Portkonfiguration mit mehreren VLANs über die CLI (Cisco 2960)
Defender for IoT kann mehrere konfigurierte VLANs in Ihrem Netzwerk ohne zusätzliche Konfiguration überwachen. Hierzu muss der Netzwerkswitch allerdings so konfiguriert sein, dass er VLAN-Tags an Defender for IoT sendet.
Für einen Cisco-Switch müssen beispielsweise die folgenden Befehle konfiguriert werden, um die Überwachung von VLANs in Defender für IoT zu unterstützen:
Überwachen der Sitzung: Mit den folgenden Befehlen wird Ihr Switch zum Senden von VLANs an den SPAN-Port konfiguriert:
monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q
Überwachen des Trunkports (F.E. Gi1/1): Mit den folgenden Befehlen wird Ihr Switch so konfiguriert, dass am Trunkport konfigurierte VLANs unterstützt werden:
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
Überprüfen der Datenverkehrsspiegelung
Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.
Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:
- Überprüfen der Switchkonfiguration
- Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
- Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden
Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.
Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.
Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.
Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.
Beispiel:
Bereitstellen mit unidirektionalen Gateways/Datendioden
Sie können Defender for IoT mit unidirektionalen Gateways bereitstellen, die auch Datendioden genannt werden. Datendioden bieten eine sichere Möglichkeit zum Überwachen von Netzwerken, da sie den Datenfluss nur in eine Richtung zulassen. Dies bedeutet, dass Daten überwacht werden können, ohne die Sicherheit des Netzwerks zu beeinträchtigen, da Daten nicht in die entgegengesetzte Richtung zurückgesendet werden können. Beispiele für Datendiodenlösungen sind Waterfall, Owl Cyber Defense oder Hirschmann.
Wenn unidirektionale Gateways benötigt werden, empfiehlt es sich, Ihre Datendioden im SPAN-Datenverkehr bereitzustellen, der an den Sensorüberwachungsport geht. Verwenden Sie eine Datendiode beispielsweise, um den Datenverkehr von einem sensiblen System wie einem industriellen Steuerungssystem zu überwachen, während das System vollständig vom Überwachungssystem isoliert bleibt.
Platzieren Sie Ihre OT-Sensoren außerhalb des elektronischen Umkreises, damit sie Datenverkehr von der Diode empfangen. In diesem Szenario können Sie Ihre Defender for IoT-Sensoren aus der Cloud verwalten und sie automatisch mit den neuesten Threat Intelligence-Paketen aktualisieren.