Konfigurieren der Legacy-ERSPAN-Datenverkehrsspiegelung mit einem Cisco-Switch
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.
Dieser Artikel enthält allgemeine Anleitungen zum Konfigurieren der Datenverkehrsspiegelung mit dem Encapsulated Remote Switched Port Analyzer (ERSPAN)- für einen Cisco-Switch.
Es wird empfohlen, den empfangenden Router als GRE-Tunnelziel (Generic Routing Encapsulation) zu verwenden.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie den Plan für die Netzwerküberwachung mit Defender for IoT verstehen und die SPAN-Ports kennen, die Sie konfigurieren möchten.
Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.
Konfigurieren des Cisco-Switches
Der folgende Code zeigt eine exemplarische Ausgabe von ifconfig für die Konfiguration von ERSPAN auf einem Cisco-Switch:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Weitere Informationen finden Sie unter CLI-Befehlsreferenz für OT-Netzwerksensoren.
Überprüfen der Datenverkehrsspiegelung
Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.
Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:
- Überprüfen der Switchkonfiguration
- Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
- Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden
Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.
Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.
Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.
Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.
Beispiel:
Konfigurieren von Legacy-ERSPAN mithilfe der Befehlszeilenschnittstelle
Wichtig
Es wird nicht empfohlen, ältere Versionen der Software zu verwenden, da dies zu Sicherheitsproblemen für Ihr System führen kann. Wenn Sie weiterhin die Legacyversion verwenden, müssen die Benutzenden bestimmte CLI-Befehle ausführen, die in diesem Abschnitt erläutert werden.
Konfigurieren des Setups über die CLI
Verwenden Sie dieses Verfahren, um die folgenden Einstellungen für die Ersteinrichtung über die CLI zu konfigurieren:
- Anmelden bei der Sensorkonsole und Festlegen eines neuen Admin-Benutzerkennworts
- Definieren von Netzwerkdetails für den Sensor
- Definieren der zu überwachenden Schnittstellen
CLI (Legacy)
Um eine Legacy-ERSPAN-Tunnelingschnittstelle mit der Befehlszeilenschnittstelle zu konfigurieren, müssen Sie eine angepasste Codezeile verwenden. Mit diesem Code wird sichergestellt, dass die Legacy-ERSPAN-Option im Konfigurations-Assistenten der Befehlszeilenschnittstelle für den Sensor verfügbar ist.
Ein neues Legacy-ERPSAN kann nur konfiguriert werden, wenn eine vorhandene Schnittstelle konfiguriert wurde.
So konfigurieren Sie Legacy-ERSPAN
Melden Sie sich mit einer Befehlszeilenschnittstelle als cyberx- oder Administratorbenutzender bei Ihrem Sensor an.
Geben Sie
ERSPAN=1 python3 -m cyberx.config.configureein.
Wählen Sie LegacyErspan aus, und weisen Sie eine Schnittstelle zu.
Wählen Sie Speichern.