Configurare il mirroring con una porta SPAN switch

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagram of a progress bar with Network level deployment highlighted.

Configurare una porta SPAN sul commutatore per eseguire il mirroring del traffico locale dalle interfacce sul commutatore a un'interfaccia diversa nello stesso commutatore.

Questo articolo fornisce procedure e processi di configurazione di esempio per la configurazione di una porta SPAN usando l'interfaccia della riga di comando di Cisco o l'interfaccia utente grafica per un commutatore Cisco 2960 con 24 porte che eseguono IOS.

Importante

Questo articolo è destinato solo come materiale sussidiario di esempio e non come istruzioni. Le porte mirror in altri sistemi operativi Cisco e altri marchi switch sono configurate in modo diverso. Per altre informazioni, vedere la documentazione del commutatore.

Prerequisiti

Prima di iniziare, assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.

Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.

Configurazione della porta SPAN dell'interfaccia della riga di comando di esempio (Cisco 2960)

I comandi seguenti illustrano un processo di esempio per la configurazione di una porta SPAN in un cisco 2960 tramite l'interfaccia della riga di comando:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Configurazione della porta SPAN GUI di esempio (Cisco 2960)

Questa procedura descrive i passaggi generali per la configurazione di una porta SPAN in un cisco 2960 tramite l'interfaccia utente grafica. Per altre informazioni, vedere la documentazione di Cisco pertinente.

Dall'interfaccia utente grafica di configurazione dell'opzione:

  1. Immettere la modalità di configurazione globale.
  2. Configurare le prime 23 porte come origine sessione, con il mirroring solo di pacchetti RX.
  3. Configurare la porta 24 come destinazione della sessione.
  4. Tornare alla modalità EXEC con privilegi.
  5. Verificare la configurazione del mirroring delle porte.
  6. Fare clic su Salva per salvare la configurazione.

Configurazione della porta SPAN dell'interfaccia della riga di comando di esempio con più VLAN (Cisco 2960)

Defender per IoT può monitorare più VLAN configurate nella rete senza alcuna configurazione aggiuntiva, purché il commutatore di rete sia configurato per inviare tag VLAN a Defender per IoT.

Ad esempio, i comandi seguenti devono essere configurati in un commutatore Cisco per supportare il monitoraggio delle VLAN in Defender per IoT:

Monitorare la sessione: i comandi seguenti consentono di configurare il commutatore per l'invio di VLAN alla porta SPAN.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Monitorare la porta trunk F.E. Gi1/1: i comandi seguenti configurano il commutatore per supportare le VLAN configurate sulla porta trunk:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dalla porta SPAN o mirror del commutatore.

Un file PCAP di esempio consente di:

  • Convalidare la configurazione del commutatore
  • Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
  • Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
  1. Usare un'applicazione analizzatore del protocollo di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

  2. Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Il traffico Unicast viene inviato dall'indirizzo a un altro.

    Se la maggior parte del traffico è messaggi ARP, la configurazione del mirroring del traffico non è corretta.

  3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

    Ad esempio:

    Screenshot of Wireshark validation.

Eseguire la distribuzione con gateway unidirezionali/diodi dati

È possibile distribuire Defender per IoT con gateway unidirezionali, noti anche come diodi dati. I diodi dati offrono un modo sicuro per monitorare le reti perché consentono solo il flusso dei dati in un'unica direzione. Ciò significa che i dati possono essere monitorati senza compromettere la sicurezza della rete, perché i dati non possono essere inviati nella direzione opposta. Esempi di soluzioni diode per i dati sono Waterfall, Owl Cyber Defense o Defensemann.

Se sono necessari gateway unidirezionali, è consigliabile distribuire i diodi dati nel traffico SPAN che passa alla porta di monitoraggio del sensore. Ad esempio, usare un diodo dati per monitorare il traffico da un sistema sensibile, ad esempio un sistema di controllo industriale, mantenendo il sistema completamente isolato dal sistema di monitoraggio.

Posizionare i sensori OT all'esterno del perimetro elettronico e fargli ricevere traffico dal diodo. In questo scenario sarà possibile gestire i sensori di Defender per IoT dal cloud, mantenendoli aggiornati automaticamente con i pacchetti di intelligence sulle minacce più recenti.

Passaggi successivi