Sdílet prostřednictvím

Konfigurace zrcadlení provozu ERSPAN (starší verze) s přepínačem Cisco

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram indikátoru průběhu se zvýrazněným nasazením na úrovni sítě

Tento článek obsahuje základní pokyny pro konfiguraci zapouzdřených analyzátoru přenosů vzdáleného přepínače (ERSPAN) pro přepínač Cisco.

Jako cíl tunelového propojení GRE (Generic Routing Encapsulation) doporučujeme použít přijímající směrovač.

Požadavky

Než začnete, ujistěte se, že rozumíte plánu monitorování sítě pomocí Defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.

Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.

Konfigurace přepínače Cisco

Následující kód ukazuje ukázkový ifconfig výstup pro ERSPAN nakonfigurovaný na přepínači Cisco:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Další informace najdete v referenčních informacích k příkazům rozhraní příkazového řádku ze síťových senzorů OT.

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem

  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Snímek obrazovky s ověřováním Wireshark

Konfigurace starší verze ERSPAN v rozhraní příkazového řádku

Důležité

Nedoporučujeme používat starší verze softwaru, protože to může způsobit problémy se zabezpečením vašeho systému. Pokud stále používáte starší verzi, musí uživatel spouštět konkrétní příkazy rozhraní příkazového řádku, které jsou popsány v této části.

Konfigurace nastavení prostřednictvím rozhraní příkazového řádku

Tento postup použijte ke konfiguraci následujících počátečních nastavení nastavení prostřednictvím rozhraní příkazového řádku:

  • Přihlášení ke konzole snímače a nastavení nového uživatelského hesla správce
  • Definování podrobností o síti pro senzor
  • Definování rozhraní, která chcete monitorovat

Starší verze rozhraní příkazového řádku

Pokud chcete nakonfigurovat starší rozhraní tunelového propojení ERSPAN v rozhraní příkazového řádku, musíte použít přizpůsobený řádek kódu. Tento kód zajistí, že je v průvodci konfigurací senzoru rozhraní příkazového řádku k dispozici starší možnost ERSPAN.

Nový starší systém ERPSAN je možné nakonfigurovat pouze v případě, že máte nakonfigurované existující rozhraní.

Konfigurace starší verze ERSPAN:

  1. Přihlaste se ke snímači pomocí rozhraní příkazového řádku s uživatelem cyberxu nebo správce.

  2. Zadejte ERSPAN=1 python3 -m cyberx.config.configure.

    Snímek obrazovky s konfigurací senzoru rozhraní příkazového řádku pro starší verze rozhraní

  3. Vyberte LegacyErspan a přiřaďte rozhraní.

  4. Vyberte Uložit.

Další kroky

« Onboarding snímačů OT do Defenderu pro IoT

Zřizování snímačů OT pro správu cloudu »